Kategorie: Compliance-Management

Lesen Sie in dieser Rubrik alle Artikel des SAVISCON-Blogs mit Themen-Bezug zum Compliance-Management.

Hinweisgeberschutzgesetz

März 29, 2023/in Compliance-Management/von Ingo Simon

Das müssen deutsche Unternehmen jetzt beachten

von Ingo Simon, Geschäftsführer der SAVICON GmbH

Eigentlich sollte das Hinweisgeberschutzgesetz am 10.02.2023 formal im Bundesrat beschlossen werden. Der Bundesrat stimmte dem Gesetzentwurf in seiner Sitzung allerdings nicht final zu.

Mit diesem ernüchternden Zwischenergebnis steht Deutschland in der EU nicht alleine da. Insgesamt sieben weitere Mitgliedsstaaten sind der Forderung der Europäischen Kommission ebenfalls nicht nachgekommen, die EU-Whistleblower-Richtlinie von 2019 fristgerecht umzusetzen.

Am 30. März 2023 werden im Bundestag nun zwei weitere Gesetzesvorlagen beraten. Einen Tag darauf, am 31. März 2023, könnte das Hinweisgeberschutzgesetz dann erneut im Bundesrat zur Abstimmung gebracht werden. Und final am 1. Mai 2023 in Kraft treten.

Was das für deutsche Unternehmen bedeutet, lesen Sie in unserem Blog-Beitrag:

Was ist das Hinweisgeberschutzgesetz?

Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung der EU-Whistleblower-Richtlinie von 2019, die erstmals einen standardisierten Schutz für Hinweisgeber EU-weit festlegt.

Schutz von Whistleblowern einerseits

Das Gesetz regelt den Schutz aller natürlicher Personen, die über interne oder externe Meldestellen auf Verstöße und Missstände in ihrem Arbeitsumfeld aufmerksam machen. Diese Personen werden Hinweisgeber oder Whistleblower genannt. Das können Arbeitnehmende, Gesellschafter, Praktikanten, Mitarbeitenden von Lieferanten und auch Personen sein, deren Arbeitsverhältnis bereits beendet ist bzw. noch gar nicht begonnen hat.

All diese Anspruchsgruppen schützt das HinschG vor Repressalien und Vergeltungsmaßnahmen wie Abmahnung, Disziplinarverfahren oder Mobbing am Arbeitsplatz. Um dies sicherzustellen, sieht das Gesetz in Paragraph 36 eine Beweislastumkehr vor. Arbeitgeber müssen also nachweisen, dass Maßnahmen gegen einen Stakeholder des Unternehmens nicht im Zusammenhang mit der Meldung eines Hinweises stehen.

Frühwarnsystem für Unternehmen andererseits

Unternehmen sollten das Hinweisgeberschutzgesetz als Chance wahrnehmen, interne Missstände frühzeitig erkennen zu können und durch entsprechende Maßnahmen zu lösen, bevor ein Vorfall publik wird. Das HinschG schützt Unternehmen zudem vor grob fahrlässigen Falschmeldungen und vorsätzlichem Denunziantentum, indem in einem solchen Fall Schadensersatzansprüche gegenüber der hinweisgebenden Person geltend machen können.

Welche Unternehmen müssen einen internen Meldekanal einrichten?

Das Gesetz sieht in Bezug auf die Umsetzung eine zeitliche Staffelung vor. Mit „Liveschaltung“ des Gesetzes werden alle Unternehmen ab 250 Mitarbeiter sofort in die Pflicht genommen sein, einen internen Meldekanal für Hinweisgeber bereitzustellen. Unternehmen mit einer Größe von 50 bis 249 Mitarbeitern wird eine Übergangsfrist bis 17. Dezember 2023 gewährt werden.

Ausnahme: Öffentlicher Sektor. Seit Dezember 2021 sind staatliche Stellen (Kommunen ab 10.000 Einwohnern und 50 Mitarbeitenden) dazu verpflichtet, interne Hinweisgebersysteme anzubieten.

Empfehlung: Bereiten Sie ihre Organisation unabhängig von der geplanten zeitlichen Umsetzung bereits jetzt auf das Hinweisgeberschutzgesetz vor. Etablieren Sie die entsprechenden Strukturen in Ihrem Unternehmen und schaffen Sie bei Ihren Mitarbeitern ein Bewusstsein für dieses Thema.

Interner oder externer Meldekanal?

Beide Meldewege werden vom Gesetz als vollständig gleichwertig angesehen. Die Entscheidung obliegt demnach der hinweisgebenden Person. Unternehmen sollen mithilfe eines Anreizsystems ihre Anspruchsgruppen davon überzeugen, den Hinweis über den internen Meldekanal abzugeben.

Neu im Gesetz: Die anonyme Kommunikation zwischen hinweisgebenden Personen und Ihrer internen Meldestelle muss laut Gesetz zusätzlich ermöglicht werden.

Die wichtigsten Anforderungen des HinschG im Kurzüberblick

Paragraph 12 des Hinweisgeberschutzgesetzes legt fest, dass Unternehmen der oben beschriebenen Größe allen Beschäftigten Zugang zur internen Meldestelle ermöglichen müssen.
Die Bearbeitung der eigehenden Hinweise darf sowohl von internen als auch von externen Mitarbeitern (z. B. Vertrauensanwalt) vorgenommen werden. Paragraph 15 stellt hierfür die einzige Bedingung, dass diese zuständigen Personen unabhängig und qualifiziert sind und dass keine Interessenskonflikten mit anderen Aufgaben und Pflichten entstehen.
Paragraph 8 und Paragraph 11: Vertraulichkeit, Anonymität, Datenschutz und vollständige Dokumentation der eingehenden Hinweise sind stets zu gewährleisten.
Spätestens innerhalb von sieben Tagen nach Hinweisabgabe muss der hinweisgebenden Person eine Eingangsbestätigung gesendet werden. (Paragraph 17)
Nach Paragraph 18 ist die hinweisgebende Person innerhalb von drei Monaten über die Maßnahmen zu informieren, die ergriffen worden sind, um den Vorfall zu behandeln und bestenfalls zu lösen.

Nutzen Sie jetzt die Vorteile des digitalen Hinweisgebersystems im SAVISCON GRC-COCKPIT und erfüllen Sie so alle Anforderungen aus dem Hinweisgeberschutzgesetz.

Über den Autor

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

Der Code of Conduct als Teil des Integrity-Managements

Juni 30, 2022/in Compliance-Management, GRC@SAVISCON/von Ingo Simon

Mit gemeinsamen Werten vom Compliance- zum Integrity-Management

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Am 19. Mai 2022 hat unsere Kollegin Kerstin Wittemeier in ihrem Blog-Beitrag „Was ist ein Code of Conduct?“ berichtet, wie wir gemeinsam mit allen Mitarbeitenden die Strategie der SAVISCON diskutiert, entwickelt und formuliert haben. Sie hat dabei auch unseren Code of Conduct erwähnt, den wir anlässlich des Strategietreffens ganz am Anfang der Veranstaltung unterschrieben haben. In diesem Beitrag möchte ich unseren Wertekatalog im Kontext unserer Compliance-Management Aktivitäten und des Firmenwachstums einordnen.

Was unterscheidet Compliance- von Integrity Management?

Dazu gibt es viele wissenschaftlicher Abhandlungen. Ich fasse es für mich stark vereinfacht einmal so zusammen:

Im Compliance-Management werden durch Aufstellen von Regeln, Maßnahmen und Kontrollen die Mitarbeitenden angehalten, diesen von außen vorgegebenen Regeln Folge zu leisten. Das gesamte Regelwerk ist aus Sicht der Betroffenen ein externes Konstrukt, das quasi aufoktroyiert wird (ist schon sehr überspitzt, aber es ist ja schon ein bisschen so). Die Betroffenen müssen diesen Regeln für sich selbst nicht unbedingt zustimmen, aber im Rahmen des Arbeitsverhältnisses trotzdem folgen.

Im Integrity Management ist es das Ziel, die intrinsische Motivation aller Mitarbeitenden zu aktivieren, sodass sie aus sich selbst heraus das Regelwerk akzeptieren, sich dazu bekennen und entsprechend handeln, ohne groß darüber nachdenken zu müssen, was die richtige Handlung ist. Eine Art „natürliche Compliance“ vielleicht.

Wie macht man die ersten Schritte in Richtung Integrity Management?

Als erstes ist wichtig, dass es grundsätzlich einen Konsens im Team gibt, dass man sich versteht und vertraut. Wichtig ist aber auch, dass Verständnis und Vertrauen auch über die Hierarchieebenen aufgebaut werden. Damit verringert sich das Risiko der Illoyalität, das schnell zu Compliance-Verstößen führen kann (siehe auch mein Artikel „Teambuilding ist auch Risiko-Management„). Wenn man sich im Team versteht, ist es ein inneres Bedürfnis, dem Team nicht zu schaden. Das ist doch schon mal ein guter Schritt.

Der nächste Schritt ist dann, den Konsens im Team nicht nur als Bauchgefühl zu pflegen, sondern zu untersuchen, woher der Konsens, das Vertrauen, das Verständnis eigentlich kommen. Das haben wir in mehreren Events umgesetzt. Schon im August 2021 habe ich in unserem Teambuilding-Event gefragt, wo sich jeder und jede einzelne im Team in fünf Jahren sehen würde. Dann habe ich alle gefragt, wo sie die SAVISCON in fünf Jahren sehen würden. Daraus entstand dann der Strategieprozess, der oben schon erwähnt wurde.

Aber im Jahresabschlusstreffen im Dezember letzten Jahres haben wir dann noch einen Workshop aufgesetzt, in dem in mehreren Kleingruppen eben der Code of Conduct erarbeitet wurde. Die Frage war: Welche Werte sind Euch im Kontext der Arbeit bei SAVISCON wichtig? Alle Werte wurden von den einzelnen Teams vorgestellt und in einer Liste gesammelt.

Code of Conduct finalisieren und unterschreiben

Aus dieser Liste hat dann die Geschäftsführung, also Marian Grzabel und ich, den Code of Conduct formuliert und dann noch in zwei Qualitätssicherungs-Runden mit allen Beteiligten finalisiert. Dieses Dokument spiegelt also nicht nur den Willen und die Werte der Geschäftsführung wider, sondern die Werte aller SAVISCON-Mitarbeiter.

Das letzte Team-Event war dann im Mai 2022, wo wir das SAVISCON-Team gefragt haben, ob sie bereit sind, den Code of Conduct auch zu unterschreiben. Dieser eigentlich nur formelle Akt führt erwiesenermaßen bei allen Beteiligten zu einer größeren unbewussten und intrinsischen Bindung an diese Werte (auch bei mir natürlich).

Damit ist eine weitere Stufe auf dem Weg zum Integrity Management genommen. Es ist nicht nur ein inneres Bedürfnis, dem Team nicht zu schaden, sondern es ist genauso ein inneres Bedürfnis, die Werte zu beachten und sich entsprechend zu verhalten. Wer Robert Cialdini gelesen hat, kennt das als „Consistency“, also das innere Bedürfnis, sich konsistent zu seinen vergangenen Aussagen und Taten zu verhalten.

Transparenz für neue Kollegen: Wer sind wir und was wollen wir

Wir als SAVISCON GmbH freuen uns über ein stetiges Wachstum und somit auch regelmäßig neue Kollegen. In den Anfängen haben wir die Mitarbeitenden meist aus unserem persönlichen Umfeld rekrutiert, wir kannten uns meist schon länger privat oder aus Projekten. In der Phase kann man sich relativ sicher sein, dass die „Neuen“ ins Team passen. Mit steigendem Wachstum werden aber immer mehr „normale“ Recruiting-Prozesse zum Einsatz kommen. Man wird als Einstellender mit komplett unbekannten Menschen über das mögliche Arbeitsverhältnis verhandeln.
Wenn es so weit ist, ist es aus unserer Überzeugung heraus wichtig, dass die Werte des schon vorhandenen Teams auch transparent Richtung Bewerber transportiert werden können. Neue Mitarbeitende sollen wissen, in welchem Umfeld sie starten werden, nicht nur von den Aufgaben her, sondern eben im kollegialen Umfeld und auch im Verhältnis zu Kunden und Dritten. Wer sich im Bewerbungsgespräch hier nicht wiederfindet, wird sich in der Regel anders orientieren. Damit, so sind wir überzeugt, können wir es schaffen, die vorhandene Harmonie innerhalb des Teams auch zukünftig zu behalten.

Über den Autor

Praxis-Tipps: Hinweisgeberschutzgesetz digital abbilden

Juni 23, 2022/in Compliance-Management, GRC@SAVISCON/von Ingo Simon

HinSchG mit einer Software abbilden

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Hinweisgeberschutzgesetz ist noch immer nicht zu nationalem Recht geworden. Deutschland hat den von der EU gesetzten Termin zur Einführung eines Gesetzes, das die EU-Whistleblower-Richtlinie umsetzt, am 17.12.2021 verstreichen lassen. Die aktuelle Bundesregierung schreibt im Koalitionsvertrag, dass sie das Gesetz umsetzen wird, jedoch binden die aktuellen Krisen vorerst die vorhandenen Ressourcen.

„Na gut“ könnte man meinen, „dann stelle ich das zurück, bis es wieder auf der Agenda erscheint. Dann diskutieren die ohnehin noch so lange, dass mir reichlich Zeit für einen Umsetzung bleibt“. Aus meiner Sicht ist das keine gute Idee, zeigt doch die Regierung in vielen Themen recht große Einigkeit. Und die EU-Kommission hat am 27. Januar 2022 mit der Einleitung des förmlichen Vertragsverletzungsverfahrens gegen Deutschland den Druck erhöht. Das Gesetz könnte also schneller kommen, als derzeit vermutet.

Das sind Argumente, um sich mit der Einführung eines Hinweisgebersystems genau jetzt auseinanderzusetzen. In diesem Artikel möchte ich aufzeigen, welche Punkte wesentlich für die Umsetzung eines digitalen Hinweisgebersystems sind (Stichwort im folgenden Text: „Praxis-Tipp“). Dazu orientieren wir uns an den Kernanforderungen des Referentenentwurfs (RefE). Seine für diesen Kontext relevanten Anforderungen finden sich relativ deckungsgleich auch in der EU-Richtlinie wieder.

Zentrale Anforderung: Einrichtung einer internen Meldestelle

Diese Anforderung findet sich im Referentenentwurf genauso wie in der EU-Richtlinie (Artikel 7 Abs (2)). Sie ist die Grundlage für die Einführung eines Hinweisgebersystems: Die Unternehmen und Organisationen sollen dafür Sorge tragen, dass sie eingehende Meldungen intern unter den Voraussetzungen des Hinweisgeberschutzgesetzes abarbeiten können.

Praxis-Tipp: Ein Hinweisgebersystem stellt die Pforte zur internen Meldestelle dar.

Artikel 8 der Richtlinie (Artikel 12 im RefE) schreibt für Unternehmen und Organisation die Pflicht vor, diese Pforte einzurichten. Grundsätzlich muss, bleiben wir beim Bild der Pforte, diese für alle Mitarbeitenden der Organisation offen sein. Zusätzlich kann sie aber auch für alle Personen geöffnet werden, die mit der Organisation beruflich zu tun haben, z. B. Lieferanten, Dienstleister, etc.

Praxis-Tipp: Neben Telefon, Briefkasten und offener Tür benötigt die Organisation eine digitale Pforte, die die Abgabe von Meldungen ermöglicht. Diese digitale Pforte musss dort präsent sein, wo die o. g. Personen darauf Zugriff haben. Es empfiehlt sich also die Bereitstellung der digitalen Pforte im Intranet und – sofern gewollt – auch auf der Webseite der Organisation.

Festlegung des Verfahrens: funktionale Mindestanforderung für ein Hinweisgebersystem

Im Artikel 9 der EU-Richtlinie stehen die prozessualen Anforderungen für ein Hinweisgebersystem. Hier steht die Wahrung der Vertraulichkeit für die meldende Person, aber auch für möglicherweise in der Meldung genannte Dritte, ganz vorne.

Praxis-Tipp: Ein System muss über Möglichkeiten verfügen, die Rollen und Rechte an entsprechende Personen so zu verteilen, dass diese Vertraulichkeit gewährleistet wird. Übrigens heißt das, dass vor der Implementierung eines Systems ein entsprechender Prozess definiert werden muss.

Interessanterweise sieht die EU-Richtlinie eine anonyme Meldung vor, schränkt aber ein, dass die Nationalstaaten entscheiden müssen, ob anonyme Meldungen bearbeitet werden müssen. Tatsächlich wird es im Referentenentwurf abgelehnt, die Bearbeitung anonymer Meldungen zur Pflicht zu machen. Eine Schwäche im Entwurf, ist es doch erwiesen, dass ein Hinweisgebersystem eben genau dann vermehrt genutzt wird, wenn es die Möglichkeit bietet, (vorerst) anonym die Meldung abzugeben. Also sollte ein System auch eine anonyme Meldung zulassen und Werkzeuge zur Verfügung stellen, welche die anonyme Kommunikation zwischen der Meldestelle und der meldenden Person mindestens so lange ermöglicht, bis ein ausreichendes Vertrauensverhältnis besteht, um sich zu offenbaren.

Praxis-Tipp: Es gibt diverse technische Möglichkeiten, die digitale Pforte auch anonymen Meldenden zu öffnen. Das kann mit einem generierten E-Mail-Account gehen, oder mit Formularen auf Webseiten. Wichtig: Auch diese anonyme Kommunikation muss vollständig dokumentiert und nachvollziehbar sein. Außerdem muss die digitale Pforte technisch so implementiert sein, dass z. B. bei Meldungen via Intranet keine technischen Rückschlüsse auf die anonym meldende Person gezogen werden können.

Screenshot von dem anonymen Chat zwischen Mitarbeiter und Hinweisgeber im SAVISCON GRC-OCKPIT.

Eine Chatfunktion bietet die Möglichkeit, Informationen und Anhänge beidseitig zu teilen. Der Chat ist Kommunikationsmittel der Wahl, bis die meldende Person ihre Kontaktdaten offenbaren will. Die Screenshots zeigen das Verfahren beispielhaft am GRC-COCKPIT der SAVISCON GmbH.

Die letzten wichtigen Anforderungen befassen sich mit dem zeitlichen Ablauf des Verfahrens. Nach spätestens 7 Tagen soll die meldende Person eine Eingangsbestätigung bekommen. Nach spätestens 3 weiteren Monaten soll die Information über die Folgemaßnahmen an die meldende Person kommuniziert werden. Sonst hat diese das Recht, sich an externe Meldestellen oder gar an die Öffentlichkeit zu wenden.

Praxis-Tipp: Das Hinweisgebersystem muss das Datum des Eingangs der Meldung speichern. Auch bei anonymen Meldungen muss ein technisches Verfahren bereitgestellt werden, wie die Bestätigung die meldende Person erreicht. Auf Basis des Eingangsdatums muss das System Fristen setzen, wann die Bearbeitung insoweit beendet sein muss, dass Folgemaßnahmen auf den Weg gebracht wurden. Überschrittene Fristen sollten zu Alarmen oder zur Eskalation führen.

Screenshot vom Health Check im SAVISCON GRC-COCKPIT.

Der Health Check im SAVISCON GRC-COCKPIT gibt Übersicht über den Status in Bezug auf die Fristen.

Fazit

Die Bereitstellung und der Betrieb eines Hinweisgebersystems ist ein wesentlicher Teilprozess des Compliance Managements (siehe auch DIN ISO 37301 Abs A.8.3). Allein die Tatsache, dass eine Organisation ein Hinweisgebersystem bereitstellt, hält potenzielle Täter davon ab, sich offensichtlich non-compliant zu verhalten.
Die Anforderungen, die von einem Hinweisgebersystems erfüllt werden müssen, sind recht klar in den gesetzlichen Grundlagen dargelegt. Bei der Auswahl eines Systems sollten daher zwei Dinge eine wesentliche Rolle spielen:

Die möglichst nahtlose Einbindung in ein digitales Compliance-Managementsystem
Die Konzentration auf die wesentlichen Anforderungen: digitale Pforte, Wahrung der Vertraulichkeit, Einhaltung der Fristen

Wenn man sich nicht durch lange Feature-Listen vom Wesentlichen ablenken lässt, kann die Einführung eines digitalen Hinweisgebersystems ihren Schrecken verlieren und auch mit überschaubarem Budget und Zeitaufwand durchgeführt werden.

Über den Autor

Was ist ein Code of Conduct (CoC)?

Mai 25, 2022/in Compliance-Management, GRC@SAVISCON/von Kerstin Wittemeier

Was regelt ein Verhaltenskodex in Unternehmen?

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAAVISCON GmbH

Vielleicht ging es Ihnen wie mir: Als ich den Begriff „Code of Conduct“ gehört habe, konnte ich mir darunter zunächst nichts vorstellen. Doch hinter diesem englischen Begriff steckt eine einfache Bedeutung. Es ist ein Dokument, in gedruckter oder digitaler Form, das die Werte und Umgangsformen in Unternehmen schriftlich festhält. Was genau darin vorkommen kann, lesen Sie im folgenden Blog-Beitrag:

Braucht jedes Unternehmen einen Code of Conduct?

Ein Code of Conduct ist nicht gesetzlich vorgeschrieben und hat somit auch keine rechtliche Bindung. Es ist eine freiwillige Selbstverpflichtung von Unternehmen. Das bedeutet auch, dass nirgendwo festgelegt ist, was er enthalten muss.

Häufig ist es so, dass kleinere Unternehmen eher auf einen Verhaltenskodex verzichten, da die Anzahl der Mitarbeiter überschaubar ist und beim Einstellen neuer Mitarbeiter ganz automatisch stärker darauf geachtet werden kann, dass diese in Bezug auf die Werte und Umgangsformen ins Team passen. Bei größeren Unternehmen sieht das schon anders aus. Deswegen ist es tendenziell so, dass große Unternehmen eher einen Code of Conduct erstellen, um Werte und Verhaltensgrundsätze unter den Mitarbeitern einheitlich zu kommunizieren.

Heutzutage ist ein Code of Conduct auch eine wichtige Botschaft nach außen. Potenzielle Kunden und auch Bewerber wollen wissen, welche Werte das Unternehmen vertritt und ob das in die eigene Wertevorstellung passt.

Für wen gilt der Verhaltenskodex?

Der Verhaltenskodex gilt für alle Mitarbeiter eines Unternehmens. Vom Aufsichtsrat, über den Vorstand, die Geschäftsführer, die Abteilungsleiter und die Angestellten. Hier werden keine Unterscheidungen gemacht. Es ist wichtig, dass das Wertebild und die Verhaltensregeln mit den Mitarbeitenden gemeinsam entwickelt und besprochen wird, damit das hinterher auch gelebt wird. Dazu muss man bei den Mitarbeitenden eine starke Bindung an den Wertekanon schaffen. Zum Beispiel kann der Code of Conduct auch von allen Mitarbeitern persönlich unterschrieben werden, wenn die Firmengröße und räumliche Verteilung das zulässt. So haben wir es in der SAVISCON gemacht. Bei größeren Organisationen muss man sich andere Möglichkeiten der Bindung überlegen

Was gehört in den Code of Conduct?

Da es keine gesetzlichen Vorgaben gibt, sind die Unternehmen beim Erstellen des CoC ziemlich frei. Themen, die häufig den Weg in den Verhaltenskodex finden, sind:

Umgangsformen unter den Kollegen
Umgangsformen mit Kunden
Umgangsformen mit Partnern
Umgangsformen mit Zulieferern
Die Gleichbehandlung aller Mitarbeiter, bezüglich Geschlecht, Alter und Herkunft
Die Einstellung des Unternehmens zum Thema Nachhaltigkeit

Zusammengefasst kann man also sagen: Der Code of Conduct enthält Verhaltensgrundsätze für das soziale Miteinander, den Umgang mit Dritten, das ökologische Handeln und die Einhaltung zu aktuellen Rechtsprechungen.

Was hat der Code of Conduct mit Compliance zu tun?

Auch wenn der Code of Conduct nicht gesetzlich vorgeschrieben ist, kann er ein hilfreiches Tool für die Compliance-Abteilung sein. Warum? Er kann sicherstellen, dass alle Mitarbeiter dasselbe Verständnis von Werten und Moral haben und bildet somit die Basis für ein funktionierendes Compliance-Management-System.
Der CoC unterstützt beispielsweise im Bereich Korruption die Entscheidungen beim Annehmen von Geschenken. Denn wenn das Grundverständnis und die Einstellung der Mitarbeiter bereits in die passende Richtung gehen, werden auch Compliance-Richtlinien eher befolgt.

Der Code of Conduct der SAVISCON GmbH

Für die SAVISCON GmbH sind die Themen Werte und Umgang wichtig. Initiiert durch unsere Geschäftsführer Ingo Simon und Marian Grzabel haben wir uns deswegen dazu entschieden bei einem Event gemeinsam einen Code of Conduct zu erarbeiten, aufzubereiten und zu unterschreiben. Aufgrund unserer noch übersichtlichen Anzahl an Mitarbeitern war es uns möglich die Anregungen und Meinungen aller mit einzubeziehen und so ein Dokument zu erstellen, mit dem sich alle identifizieren können.

Hier können Sie den SAVISCON Code of Conduct einsehen: Zum Verhaltenskodex der SAVISCON GmbH.

Über die Autorin

Kerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social-Media-Kanäle und den Blog. Bei Fragen, Anregungen oder für den Austausch: kerstin.wittemeier@saviscon.de

Lieferkettengesetz im Unternehmen umsetzen

Mai 5, 2022/in Compliance-Management/von Ingo Simon

Das müssen Sie über das Lieferkettengesetz wissen

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (LkSG) ist im Juli 2021 rechtskräftig geworden. Viele Unternehmer fragen sich, was jetzt zu tun ist.

Für wen gilt das Lieferkettengesetz?

Das Gesetz betrifft Unternehmen mit Hauptsitz in Deutschland (§1) und mehr als 3.000 Mitarbeitenden ab dem 01.01.2023., Unternehmen mit mehr als 1.000 Mitarbeitenden ab dem 01.01.2024. Eine Schätzung im Vorfeld der Veröffentlichung des Gesetzes besagt, dass etwa 3.000 Unternehmen in Deutschland direkt betroffen sein werden.
Trotzdem können sich alle anderen Unternehmen nicht unbedingt zurücklehnen. Die direkt betroffenen Unternehmen werden in aller Regel ihre unmittelbaren und vielleicht auch wichtige, mittelbare Lieferanten dazu verpflichten, ebenfalls den, in den Gesetzen vorgegebenen, Standards zu entsprechen. Für Lieferanten bedeutet das, dass auch sie sich mit dem Gesetz befassen müssen, damit sie nicht Gefahr laufen, bei Ihren Großkunden aus der Liste der Lieferanten zu fallen.

Was steht im Lieferkettengesetz?

Alle im Gesetz niedergeschriebenen Forderungen beziehen sich auf die Menschenrechtsverletzungen und Umweltschutz-Themen, die im §2 umfassend definiert werden.
Im zweiten Abschnitt sind dann die Anforderungen zu den Sorgfaltspflichten der Unternehmen beschrieben. Im §3 ist zusammengefasst, was Unternehmen machen müssen, um compliant zu sein. Details folgen in den nachfolgenden Paragraphen des zweiten Abschnitts:

Risikomanagement etablieren (Details §4)
Zuständigkeiten definieren (Details §4)
Risikoanalysen regelmäßig durchführen (Details §5)
Abgabe einer Grundsatzerklärung (Details §6)
Verankerung von Präventionsmaßnahmen (Details §6)
Einrichten von Abhilfemaßnahmen (Details §7)
Einrichtung eines Beschwerdeverfahrens (Details §8)
Sorgfaltspflichten auch für mittelbare Zulieferer (Details §9)
Dokumentation und Berichterstattung (Details §10)

Im vierten Abschnitt ist dann noch der §12 relevant. Hier ist die Frist von vier Monaten nach Abschluss des Geschäftsjahres für den einzureichenden jährlichen Bericht nach §10 normiert. Das wird für die Zulieferer jedoch eher nicht zutreffen.

Die weiteren Paragraphen sind für die Umsetzung der Sorgfaltspflicht erst einmal nicht relevant, hier ist geregelt, wie und wann die Behörde agieren darf und wie sich etwaige Sanktionen darstellen.

Was genau bedeutet das für ein Unternehmen, auch wenn es nicht direkt vom Gesetz betroffen ist?

Für ein Unternehmen, das z. B. als unmittelbarer Zulieferer von direkt betroffenen Unternehmen agiert, empfiehlt es sich, den Anforderungen des Gesetzes wie oben beschrieben im Wesentlichen nachzukommen, wenn man Lieferant bleiben will. Insofern sollte man organisatorisch die Zuständigkeit festschreiben und ein Risiko-Management in diesem Kontext betreiben.

Einen sehr guten Leitfaden für KMU findet man unter folgendem Link:

KMU Kompass – Strategie entwickeln (wirtschaft-entwicklung.de)

Die Seite basiert auf einer Initiative des Wirtschaftsministeriums, welches schlussendlich für das LkSG auch das verantwortliche Ministerium ist. Hier haben die Ersteller sehr gut und intensiv Maßnahmen und Vorgehensweisen beschrieben, die zielführend sind. Das bedeute nicht, dass man, wenn man alle beschriebenen Maßnahmen durchführt, automatisch compliant ist. Es ist eher als Stoffsammlung gedacht, aus der sich Unternehmen Ihre maßgeschneiderte Vorgehensweise ableiten können.

Auch sehr empfehlenswert ist dieser Artikel der Handelskammer Hamburg:

Lieferkettengesetz – Was kommt auf Lieferanten zu? – Handelskammer Hamburg (ihk.de)

Lieferkettengesetz Software: Systemunterstützung ist empfehlenswert

Um Risiko-Management, Maßnahmen und Dokumentation mit den zugehörigen Fristen effizient verwalten zu können, empfiehlt sich der Einsatz eines entsprechenden IT-Systems. Wir bieten zum Thema Lieferkettengesetz und digitale, softwaregestützte Umsetzung ein Webinar an. Darin werden wir die Umsetzung in unserem GRC-COCKPIT beispielhaft darstellen. Hier können Sie sich zum Webinar anmelden: Jetzt kostenfrei anmelden.

Über den Autor

Neues Jahr, neue Regierung, neue Gesetze

Januar 10, 2022/in Compliance-Management, GRC-COCKPIT/von Ingo Simon

Compliance-Management: das ändert sich 2022

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:

Compliance in Unternehmen / allgemeines Unternehmensrecht

„Wir schützen ehrliche Unternehmen vor rechtsuntreuen Mitbewerberinnen und Mitbewerbern. Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.”, steht im Koalitionsvertrag.

Auch wenn das Verbandssanktionsgesetz, das in 2021 im Entwurf veröffentlicht wurde, hier nicht mehr explizit genannt wird, wird das Thema Compliance generell weiter in den Fokus geraten. Auch für Unternehmen, die bisher nicht in stark regulierten Branchen unterwegs sind. Grundsätzlich ist also die Auseinandersetzung mit Compliance und die Etablierung von entsprechenden Prozessen auf jeden Fall sinnvoll und wichtig für die Zukunftssicherheit von Unternehmen jeglicher Branche und Größe.

Hinweisgeberschutzgesetz (HinSchG)

„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um“, schreibt die Regierung im Koalitionsvertrag. Das Hinweisgeberschutzgesetz soll den Hinweisgebern mehr Rechtssicherheit bei Missstandsmeldungen bringen. Hinweisgeber können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die während ihrer beruflichen Tätigkeit Verstöße gegen das geltende Recht festgestellt haben. Das Gesetz sieht vor, dass alle Unternehmen ab 50 Mitarbeitern ein Hinweisgebersystem mit interner Meldestelle einführen müssen. Für Unternehmen mit bis zu 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023. Eine interne Meldestelle hat für Unternehmen einen großen Vorteil: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Welche Anforderungen das Hinweisgebersystem erfüllen muss und wieso eine digitale Lösung sinnvoll ist, lesen Sie in unserem Blog-Beitrag „Hinweisgeberschutzgesetz“.

Lieferkettengesetz (LkSG)

„Wir unterstützen ein wirksames EU-Lieferkettengesetz, basierend auf den UN-Leitprinzipien Wirtschaft und Menschenrechte, das kleinere und mittlere Unternehmen nicht überfordert. […]“, so steht es im Koalitionsvertrag. Am 11. Juni 2021 hat der Deutsche Bundestag das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Offiziell heißt es „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024. Was es für konkrete Anforderungen vorsieht und welche Sanktionen bei Non-Compliance drohen, lesen Sie in unserem Blog-Beitrag „Das Lieferkettengesetz kommt“.

Fazit

2022 wird ein spannendes Jahr für das Compliance-Umfeld. Es ergeben sich einige Änderungen und die Anforderungen aus den neu in Kraft tretenden Gesetzen erhöhen sich. Um allen Anforderungen gerecht zu werden ist es ratsam sich frühzeitig mit der Umsetzung auseinanderzusetzen, auch wenn Sie beispielsweise das HinSchG erst bis 2023 umsetzen müssen. Um den Überblick im Gesetzesdschungel zu behalten, bietet sich eine Compliance-Management-Software an, die beim Dokumentieren unterstützt. So können alle Compliance-Themenfelder unter einem Software-Dach zusammengehalten werden und greifen auf dieselbe Datenbasis zu. Das erleichtert das konsistente Arbeiten und das monitoren aller Maßnahmen bis hin zur Report-Erstellung auf Knopfdruck. Übrigens: Wir bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann. Wenn Sie interessiert sind, vereinbaren Sie gerne online einen Termin bei uns und wir erörtern, wie Sie das GRC-COCKPIT mit Ihren individuellen Bedürfnissen nutzen können.

Über den Autor

ISO 37301:2021 – Was ist neu?

Dezember 21, 2021/in Compliance-Management/von Ingo Simon

Die wichtigsten Unterschiede zur ISO 19600

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Im April 2021 hat die International Organization for Standardization (ISO) die ISO 37301:2021-4 veröffentlicht. Sie löst den bisher gültigen Standard ISO 19600 ab, in dem beschrieben wird, wie Unternehmen ein Compliance-Management-System (CMS) einführen, umsetzen und die Wirksamkeit nachweisen können. Das Deutsche Institut für Normung e.V. (DIN) hat im November 2021 auch die deutsche Version, die DIN ISO 37301:2021-11, herausgebracht. Doch was hat sich verändert und wie können Unternehmen die Anforderungen aus der DIN-Norm umsetzen?

Inhalt der ISO 37301:2021

Was ist neu bei der ISO 37301? Viele inhaltliche Punkte der ISO 19600 wurden auch in die neue Norm übernommen. Wenn Unternehmen und Organisationen sich also bereits ein CMS nach ISO 19600 (oder aber auch nach IdW PS 980) aufgebaut haben, dann müssen sie nicht alles wieder über den Haufen werfen, sondern können darauf aufbauen.
Der neue Standard lässt sich auf alle Organisationsarten anwenden – ganz egal wie groß oder in welcher Branche sie tätig sind. Dabei akzeptiert die ISO 37301, dass die Anforderungen an das jeweilige Unternehmen flexibel angepasst werden können. Die Verantwortlichkeit liegt immer beim Unternehmen selbst.

Unterschied zur ISO 19600

Die ISO 37301 ist jetzt ähnlich aufgebaut, wie andere ISO-Richtlinien für Managementsysteme, beispielsweise die ISO 9001 Qualitätsmanagement, sie fußt somit auf der sogenannten High Level Structure und implementiert den Plan-Do-Check-Act-Zyklus (PDCA):

Die ISO 19600 wurde im Dezember 2014 veröffentlicht und galt seitdem als das Fundament, um Compliance-Management-Systeme aufzubauen. Im Gegensatz zur neuen ISO 37301 war sie als „ISO Typ B Managementsystemstandard“ nur eine unverbindliche Empfehlung für die Einrichtung eines CMS. Die ISO 37301 setzt verbindliche Anforderungen an ein CMS, ist also „ISO Typ A Managementsystemstandard“, und damit auch zertifizierbar.

Zertifizierung nach ISO 37301

Die Zertifizierung nach ISO 37301 kann sinnvoll sein, um gegenüber Geschäftspartnern Vertrauen aufzubauen. Daneben kann es sein, dass zukünftige Ausschreibungsverfahren eine solche Zertifizierung voraussetzen. Außerdem ist es vorteilhaft, wenn man durch die Zertifizierung mit einem strukturierten CMS nachweisen kann, dass man seiner unternehmerischen Sorgfaltspflicht nachgekommen ist. Sollte es einmal zu einem Gerichtsverfahren kommen, ist das strukturierte CMS ein Beweismittel um ggf. drohende Sanktionen abzumildern oder abzuwenden.

Compliance-Management digitalisieren

Die Digitalisierung von Compliance-Management Prozessen bietet eine Chance zur ganzheitlichen Betrachtung. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen. Schaffen Sie mit der Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Dieser Synergie-Ansatz steckt auch hinter der vereinheitlichten Struktur der ISO- Management-Normen. Diese Synergien erreichen Sie beispielsweise durch die Abbildung der verschiedenen Management-Prozesse in unserer Software-Lösung, dem SAVISCON GRC-COCKPIT. Lesen Sie für weitere Details gerne unseren Blog-Beitrag „Digitalisierung von Compliance-Management-Prozessen“.

Download ISO 37301:2021

Die ISO 37301 kann beim Beuth Verlag gekauft und als PDF-Dokument heruntergeladen werden. Hier geht es zur Originalfassung der ISO 37301:2021-4 (Englisch) und hier zur deutschen Fassung DIN ISO 37301:2021-11.

Über den Autor

Quellen:
Zeitschrift comply 03-2020
EQS Blog
Haufe

Das Lieferkettengesetz kommt:

November 18, 2021/in Compliance-Management/von Redaktion

Das müssen deutsche Unternehmen jetzt umsetzen

Der Handel erstreckt sich durch die Globalisierung und Digitalisierung über die ganze Welt. Produkte legen teilweise mehrere Tausend Kilometer zurück, bevor sie in deutschen Geschäften liegen. Entlang dieser Lieferkette gibt es viele Stationen und viele Personen, die am Prozess beteiligt sind. Einige dieser Menschen leiden unter schlechten Arbeitsbedingungen, darunter auch Kinder. Deshalb haben die Vereinte Nationen und die OECD Vorschläge gemacht, welche Sorgfaltspflichten Unternehmen bei ihren globalen Lieferketten erfüllen sollten. Am 11. Juni 2021 hat der Deutsche Bundestag dann das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt.

Für wen gilt das deutsche Lieferkettengesetz?

Das Gesetz heißt offiziell „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024.

Sanktionen bei Non-Compliance

Der deutsche Entwurf des Lieferkettengesetzes sieht als Sanktionen bei Nichteinhaltung Bußgelder von bis zu 800.000 Euro (§ 24 Abs. 1 LkSG) vor. Wenn Unternehmen einen Jahresumsatz von 400 Millionen Euro übersteigen, dann sieht das Lieferkettengesetz ein Bußgeld von bis zu zwei Prozent des weltweiten Umsatzes als Strafe vor (§ 24 Abs. 3 LkSG). Außerdem sollen sie bei schwerwiegenden Verstößen (bei einer Geldbuße von mindestens 175.000 Euro) bis zu drei Jahre von der öffentlichen Beschaffung, also der Auftragsvergabe durch öffentliche Stellen wie Gemeinden oder Ministerien, ausgeschlossen werden (§ 22 LkSG). Zivilrechtliche Haftungen sind im deutschen Gesetz nicht vorgesehen. Das Lieferkettengesetz wird durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) kontrolliert.

Entwurf EU-Lieferkettengesetz vs. deutsches Gesetz

Die EU arbeitet parallel an einem eigenen Lieferkettengesetz. Der EU-Entwurf geht bisher deutlich über das hinaus, was im deutschen Lieferkettengesetz steht. So soll es beispielsweise für Unternehmen ab 250 Mitarbeiter gelten und nicht nur für diejenigen mit mehr als 1.000 Mitarbeitern. Im deutschen Entwurf wird nur die direkte Lieferkette berücksichtigt. Der EU-Entwurf fordert hingegen, dass auch die indirekten Lieferanten berücksichtigt werden. Darüber hinaus sieht der europäische Entwurf härtere Sanktionen bei Verstößen vor. Es sind anstatt reiner Geldbußen auch zivilrechtliche Haftungen vorgesehen.

Welche Anforderungen müssen deutsche Unternehmen erfüllen?

Das Lieferkettengesetz legt eine umfassende Risikoanalyse entlang der Lieferkette fest. Außerdem müssen Unternehmen Maßnahmen zur Prävention und Abhilfe festlegen. Ganz konkret heißt das:

Unternehmen müssen ein Risikomanagementsystem einrichten (§ 4 Absatz 1 LkSG)
Es muss einen betriebsinternen Zuständigen für den Menschenrechtsschutz geben (§ 4 Absatz 3 LkSG)
Es müssen regelmäßige Risikoanalysen durchgeführt werden (§ 5 LkSG)
Das Unternehmen muss eine Grundsatzerklärung verabschieden (§ 6 Abs. 2 LkSG)
Es müssen Präventionsmaßnahmen im eigenen Geschäftsbereich verankert werden (§ 6 Absatz 1 und 3 LkSG) und gegenüber direkten Zulieferern (§ 6 Absatz 4 LkSG)
Wenn eine geschützte Rechtsposition verletzt wird, müssen Abhilfemaßnahmen ergriffen werden (§ 7 Abs. 1 bis Absatz 3 LkSG)
Es muss ein Beschwerdeverfahren eingerichtet werden, damit Menschenrechtsverstöße gemeldet werden können (§ 8 LkSG) (siehe hierzu auch unseren Blog-Beitrag zum Thema Hinweisgeberschutzgesetz)
Unternehmen müssen ihre Sorgfaltspflichten in Bezug auf Risiken bei direkten Zulieferern umsetzen (§ 9 LkSG)
Unternehmen sind dazu verpflichtet die Erfüllung ihrer Sorgfaltspflichten zu dokumentieren (§ 10 Absatz 1 LkSG) und darüber Bericht erstatten (§ 10 Absatz 2 LkSG)

Wie können Unternehmen den Anforderungen gerecht werden?

Wenn noch nicht vorhanden, sollten Unternehmen zeitnah ein digitales Compliance-Management-System einführen. Mit diesem Compliance-Management-System sollten sie dann alle Anforderungen, unter anderem aus dem Lieferkettengesetz und dem Hinweisgeberschutzgesetz, abbilden können. Innerhalb dieses Systems muss es möglich sein, Risiken aus den Anforderungen abzuleiten, Maßnahmen zu erstellen und deren Erfüllung regelmäßig zu monitoren. Außerdem sollten Unternehmen ein Hinweisgebersystem einführen, das im besten Fall direkt in Ihr Compliance-Management-System integriert ist. So sind alle Informationen zu den Prozessen in einem System und auf einen Blick verfügbar und auch auch das regelmäßige, konsistente Monitoring an die Geschäftsführung ist leichter. Informieren Sie sich dazu auch gerne auf unserer Webseite über unsere Compliance-Management Lösung, das GRC-COCKPIT.

Quellen:
Gesetz Lieferkettensorgfaltspflichtengesetz – LkSG
BMZ
EQS-Blog
MMLogistik

Compliance-Falle: Geschenke und Einladungen

September 16, 2021/in Compliance-Management, GRC@SAVISCON/von Karin Selzer

Was ist erlaubt und was nicht?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance-Management.

Kleine Geschenke sind doch ok – oder?

Kleine Geschenke erhalten die Freundschaft – heißt es so schön. Obwohl wir noch ein kleines Unternehmen sind und die Anzahl an Geschenken und Einladungen bisher überschaubar sind, wollen wir uns trotzdem aus Compliance-Sicht diesem Thema widmen. Die Bekämpfung von Korruption (Bestechung, Bestechlichkeit, Vorteilsgewährung, Vorteilsannahme) ist schließlich einer der wichtigsten Punkte aus dem Compliance-Management. So stellen sich also auch bei uns im Unternehmen folgende Fragen: wo fängt der Verdacht auf Korruption eigentlich an, was darf ich annehmen und was nicht?

Früher war es Gang und Gäbe: eine Essenseinladung in ein 3-Sterne-Lokal, VIP-Karten für ein Fußballspiel oder Vergünstigungen beim nächsten Einkauf. Heutzutage nicht mehr dran zu denken, da in vielen Unternehmen strenge Regeln gegen Korruption herrschen und das ist auch gut so. Kein Unternehmen möchte in den Verdacht der Bestechlichkeit geraten (Reputationsverlust), geschweige denn eine Geldstrafe oder sogar Freiheitsstrafe riskieren. Deshalb finden sich gerade in größeren Firmen Compliance-Richtlinien, die den Umgang mit Geschenken und Einladungen regeln und so die Mitarbeiter unterstützen, sich regelkonform zu verhalten. Aber auch ohne Richtlinie sollte jedem Mitarbeiter klar sein, dass er zu gesetzestreuem Verhalten verpflichtet ist. Es darf auf keinen Fall der Anschein entstehen, dass durch Geschenke persönliche Vorteile genutzt werden. Bei Verstoß droht dem Mitarbeiter die fristlose Kündigung. Um gar nicht erst in die Gefahr zu kommen, ist für uns als SAVISCON GmbH klar, dass wir eine interne Compliance-Richtlinie (Verhaltensrichtlinie) festlegen. Diese ist gerade innerhalb des laufenden Projektes in Arbeit.

Was ist erlaubt und was ist tabu?

Da es keine gesetzliche Regelung für die Grenze zwischen einer netten Aufmerksamkeit und einem Bestechungsversuch gibt, können neben festgelegten Wertgrenzen auch folgende Kriterien zur Beurteilung angewandt werden:

Zeitpunkt: Geschenke und Einladungen sollten in keinem engen zeitlichen Zusammenhang mit laufenden oder bevorstehenden Vertragsabschlüssen stehen.

Häufigkeit: Zuwendungen sollten sich nicht häufen und in einem angemessenen Maße stattfinden.

Angemessenheit: Ebenso ist es ein Unterschied, ob eine Essenseinladung zum Italiener um die Ecke stattfindet oder in ein nobles 3-Sterne-Restaurant. Allerdings kann es hier auch erlaubte Schwankungen geben, je nach hierarchischer Stellung der beteiligten Personen. Zuwendungen unter Geschäftsführern dürfen durchaus eine etwas höhere Wertkategorie erreichen.

Welche Wertgrenze sollte festgelegt werden?

In vielen Unternehmen wird die Grenze von 35,- € angewandt, denn bis zu dieser Grenze sind Geschenke an Geschäftspartner steuerlich absetzbar. Es können auch individuelle Wertgrenzen vereinbart werden (ggf. mit Genehmigung durch Vorgesetzte) – die Entscheidung liegt beim Unternehmen. Es gibt aber auch durchaus Firmen, die keinerlei Zuwendungen zulassen und ein komplettes Verbot in ihren Compliance-Richtlinien aussprechen. Auch Grundsätze wie diese können hilfreich sein:

Sinnbild Kugelschreiber als Geschenk = compliancekonform?

Sind Kugelschreiber als Geschenk in Ordnung? Foto von Jess Bailey Designs von Pexels

Werbeartikel (Kugelschreiber, Kalender etc.) sind in der Regel erlaubt
Keine Geschenke / Einladungen an Privatadressen
Keine Gutscheine oder Geldgeschenke
Keine Zuwendungen im Rahmen einer Vertragsanbahnung

Zusätzliche Vorsicht bei Amtsträgern

Amtsträger wie Richter, Notare, Beamte und Mitarbeiter der öffentlichen Verwaltung dürfen lt. § 331 ff. StGB überhaupt keine Zuwendungen annehmen. Selbst die Einladung zum Kaffee könnte problematisch gesehen werden. Von daher ist bei Amtsträgern zusätzliche Vorsicht geboten und es ist ratsam hier lieber komplett auf Geschenke und Einladungen zu verzichten.

Transparenz und Dokumentation

Werden Zuwendungen in einem bestimmten Rahmen zugelassen, sollte dies auch transparent dokumentiert werden. In der Praxis hat sich hier das Führen von Listen durchgesetzt, in denen alle Geschenke eingetragen werden. Gerade zu Weihnachten werden oft Kalender, besondere Weine, Präsentkörbe, etc. verschenkt. So kann durch den Compliance-Verantwortlichen kontrolliert werden, ob die Geschenke und Einladungen im erlaubten Rahmen bleiben. Genehmigungspflichtige Geschenke können dort ebenso dokumentiert werden wie wertvolle Geschenke, die abgelehnt wurden.

Compliance-Kultur und Schulung

Um eine gute Compliance-Kultur im Unternehmen aufzubauen, muss diese auch von allen gelebt werden. Deshalb ist es wichtig, dass sich auch Geschäftsführung und Management an Compliance-Richtlinien halten und diese offen und transparent vorleben. Außerdem sollten Mitarbeiter bei diesem sensiblen Thema umfassend geschult und aufgeklärt werden. Nur wenn allen klar ist, welche Art von Zuwendungen erlaubt und welche nicht erlaubt sind, kann entsprechend gehandelt und ein Missbrauch ausgeschlossen werden.

Aus der Praxis

Wir sind gerade dabei, unsere Compliance-Richtlinien weiter aufzubauen. Neben der „Annahme von Geschenken und Einladungen“ werden hier auch Themen wie Diskriminierung, Verschwiegenheit, Datenschutz, etc. geregelt sein. Die finale Richtlinie wird dann durch unseren Geschäftsführer verabschiedet, anschließend an alle Mitarbeiter kommuniziert und zentral abgelegt. Ebenso wird es eine Schulung für alle Mitarbeiter geben. Sie sehen: da ist noch viel zu tun. Los geht’s!

Wie ist die Annahme von Geschenken und Einladungen bei Ihnen geregelt?

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Annahme von Geschenken und Einladungen“:

auch kleine Unternehmen wie wir sollten sich dazu Gedanken machen
es ist hilfreich, das gewünschte Verhalten in Compliance-Richtlinien festzuhalten
umso klarer Wertgrenzen und Regeln formuliert sind, desto besser
Compliance muss in allen Ebenen (vor)gelebt werden
Mitarbeiter sollten umfassend geschult werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management.

Über die Autorin:

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Was bedeutet Know Your Customer (KYC)?

Juli 8, 2021/in Compliance-Management, GRC@SAVISCON/von Karin Selzer

Compliance: Kennen Sie Ihre Kunden?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag aus der Reihe GRC@SAVISCON über das Durchführen der Datenschutz-Folgenabschätzung berichtet haben, soll es heute um den Compliance-Prozess „Know Your Customer“ gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: „Know your Customer“ (KYC) ist in aller Munde, doch was ist das überhaupt und was ist hier konkret zu tun? Diese Fragen haben wir uns im Projekt ebenso gestellt und wollen uns nun Schritt-für-Schritt dem Thema nähern.

Definition

Unter „Know your Customer“ (zu Deutsch: kenne deinen Kunden) versteht man die Prüfung von persönlichen Daten und Geschäftsdaten zur Prävention von Geldwäsche und Terrorismusfinanzierung. Grundlage bietet hier unter anderem das Geldwäschegesetz (GwG). Es gilt zu prüfen, mit wem das eigene Unternehmen da überhaupt Geschäfte macht und dabei geht es nicht nur um Kunden, sondern ebenso um Dienstleister, Lieferanten und Mitarbeiter (auch eine Gehaltszahlung ist eine Art finanzielle Unterstützung).
Und: früher galten Prüfungen eher nur für Unternehmen im Finanzsektor, doch mittlerweile trifft es Organisationen aller Branchen.

Um Wirtschaftskriminalität, Geldwäsche und andere kriminelle Machenschaften zu bekämpfen, bestehen zahlreiche nationale und internationale Prüf-Standards, die in keinem Compliance-Management fehlen dürfen. Taucht ein bestehender oder potenzieller Geschäftspartner oder Mitarbeiter z.B. auf einer Sanktionsliste oder PEP-Liste auf, sind weitere Untersuchungen notwendig. Eine bedenkliche Einstufung hat ggf. sogar eine Beendigung bzw. Verweigerung der Geschäftsbeziehung zur Folge. Es gibt zwar keine rechtliche Verpflichtung, dass jedes Unternehmen prüfen muss, aber jedes Unternehmen muss gewährleisten, dass keine sanktionierten Personen/Unternehmen Unterstützung bekommen. Unter „Unterstützung“ sind sämtliche Aktionen gemeint: es dürfen keine Gelder ausgezahlt werden; aber auch Warenlieferungen und/oder Dienstleistungen dürfen nicht (mehr) erbracht werden.

Bei Missachtung können neben Reputationsverlust auch diese Folgen drohen:

Bei fahrlässigen Verstößen: Ahndung als Ordnungswidrigkeit gem. § 19 AWG Geldbuße bis zu 500.000 €
Bei vorsätzlichen Verstößen: Bestrafung der Verstöße als Straftat gem. § 17 AWG, bis zu 10 Jahre Freiheitsstrafe bzw. gem. § 18 AWG bis zu 5 Jahren Freiheitsstrafe
ggf. auch Entzug der Geschäftserlaubnis

Sanktionslisten

Begonnen wurde mit der Prüfung von terrorverdächtigen Personen als Reaktion auf die Anschläge vom 11. September 2001. Als Grundlage gilt die vom UN-Sicherheitsrat erarbeitete UN-Sanktionsliste. Darauf aufbauend gibt es erweiterte europäische Sanktionslisten (EU-Listen) und eigene Sanktionslisten einiger Staaten, wie z.B. der USA, Großbritannien, Japan und der Schweiz. Nicht alle Listen sind für alle Unternehmen relevant. Es muss also im Vorfeld erstmal geprüft werden, welche Listen (mit welchen Schwerpunkten) auf das eigene Unternehmen Anwendung finden. An dieser Stelle möchten wir einige Listen kurz erwähnen und einen Einblick in diese geben:

CFSP-Liste / Common Foreign & Security Policy (EU-Liste):
Die CFSP-Liste ist von jedem in der EU ansässigen oder wirtschaftlich tätigen Unternehmen zu prüfen. In dieser konsolidierten Liste stehen sämtliche Personen, Organisationen und Vereinigungen gegen welche Finanz-Sanktionen seitens der EU bestehen. Alle EU-weiten Namenslisten, die im Zuge von Verordnungen im Europäischen Amtsblatt veröffentlicht werden, finden sich auf dieser konsolidierten Listensammlung. Die Einträge erfolgen daher mit unterschiedlichen Hintergründen zur Terrorbekämpfung, zur Umsetzung von Länderembargos, zur Folter-Bekämpfung und zur politischen, wie wirtschaftlichen Sanktionierung. Nach den geltenden EU-Verordnungen und dem AWG sind die Unternehmen dazu verpflichtet, einen wirtschaftlich und technisch vertretbaren Aufwand zu betreiben, alle Geschäftspartner gegen diese Liste zu prüfen. Das bedeutet, dass nicht nur exportierende Unternehmen, sondern auch Unternehmen, die nur in Deutschland Geschäfte machen, alle Geschäftspartner, Lieferanten, Kunden und auch die Mitarbeiter gegen diese Sanktionsliste prüfen müssen. Hier ein Auszug:

Auszug aus der CFSP-Liste (Stand 02.07.2021)

SDN-Liste / Specially Designated Nationals (US-Liste):
Hier handelt es sich um eine US-Liste. In dieser Liste finden sich natürliche oder juristische Personen, welche in Aktivitäten verwickelt sind, die die Sicherheit der USA gefährden. Kommt es hier zu einem Treffer, muss bei diesem Handelspartner für den Austausch von Gütern, die der Export Administration Regulations (EAR) unterliegen, lediglich eine Genehmigung bei den amerikanischen Behörden beantragt werden. Hier kommt es also nicht zu einem generellen Verbot. Hier ein Auszug:

Auszug aus der SDN-Liste (Stand 02.07.2021)

DPL-Liste / Denied Persons List (US-Liste):
Bei dieser US-Liste sieht es dagegen etwas anders aus. In dieser Liste werden natürliche und juristische Personen geführt, welche gegen das US-Ausfuhrrecht verstoßen haben. Das Bureau of Industry an Security (BIS) hat gegen diese Personen eine Verbotsverfügung (Denial Order) erlassen. Für diese Personen gilt ein umfassendes Verbot für den Handel mit US-Produkten.

Das Thema Sanktionsliste bedarf also einer näheren und individuelleren Betrachtung – je nach Geschäftsfeld des eigenen Unternehmens muss erstmal geprüft werden, welche Sanktionslisten relevant sind.
(Quelle der Listen: https://www.bex.ag/sanktionslisten/)

Was muss genau geprüft werden?

Wenn ich die notwendigen Sanktionslisten eruiert habe, kann anhand von Vorname, Name, Adresse und Geburtsdatum geprüft werden, ob es Übereinstimmungen zwischen dem jeweiligen Geschäftspartner oder Mitarbeiter und einer sanktionierten Person gibt. Doch auch hier muss berücksichtigt werden, dass Übereinstimmungen auch oft nur durch Namensgleichheit bzw. -ähnlichkeit entstehen können. Hier ist es zwingend notwendig, weitere Kriterien wie Anschrift und Geburtsdatum hinzuzuziehen.

Wie kann ein Abgleich stattfinden?

Auf der Seite Justizportal des Bundes und der Länder gibt es unter Onlinedienste => Finanz-Sanktionsliste die Möglichkeit, Einzelprüfungen vorzunehmen: Finanzsanktionsliste 2021 (finanz-sanktionsliste.de). Bei einem großen Stamm an Geschäftspartnern ist dies aber mit hohem Aufwand verbunden und deshalb gibt es mittlerweile eine Vielzahl an Anbietern, die zur Prüfung eine eigene Software anbieten, die dann z.B. über Schnittstellen an das hausinterne Bestandssystem angebunden werden können.

Wie oft sollte geprüft werden?

Da sich der Status einer Person im Laufe der Zeit ändern kann, reicht eine einmalige Prüfung zu Beginn einer Geschäftsbeziehung nicht aus. Demnach wird empfohlen, in der Praxis mind. alle 3 Monate eine Stammdatenprüfung durchzuführen. Dies ist zwar nicht gesetzlich verbindlich vorgeschrieben, aber das Unternehmen muss wie bereits erwähnt gewährleisten, dass keine Geschäfte mit sanktionierten Personen stattfinden.

PEP-Listen

Völlig unabhängig von diversen Sanktionslisten gibt es auch noch PEP-Listen, die ggf. berücksichtigt werden müssen. Steht man in Beziehung zu sogenannten politisch exponierten Personen (Politiker, Behörden, etc.) so spielt die Prüfung von PEP-Listen zur Vermeidung von Korruption und Bestechung eine wichtige Rolle. Eine PEP im Sinne des GwG ist eine natürliche Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt (§ 1 Abs. 12 GwG). Juristische Personen sind keine PEPs.

Zu den politisch exponierten Personen gehören insbesondere:
a) Staatschefs, Regierungschefs, Minister, Mitglieder der Europäischen Kommission, stellvertretende Minister und Staatssekretäre,
b) Parlamentsabgeordnete und Mitglieder vergleichbarer Gesetzgebungsorgane,
c) Mitglieder der Führungsgremien politischer Parteien,
d) Mitglieder von obersten Gerichtshöfen, Verfassungsgerichtshöfen oder sonstigen hohen Gerichten, gegen deren Entscheidungen im Regelfall kein Rechtsmittel mehr eingelegt werden kann,
e) Mitglieder der Leitungsorgane von Rechnungshöfen,
f) Mitglieder der Leitungsorgane von Zentralbanken,
g) Botschafter, Geschäftsträger und Verteidigungsattachés,
h) Mitglieder der Verwaltungs-, Leitungs- und Aufsichtsorgane staatseigener Unternehmen,
i) Direktoren, stellvertretende Direktoren, Mitglieder des Leitungsorgans oder sonstige Leiter mit vergleichbarer Funktion in einer zwischenstaatlichen internationalen oder europäischen Organisation;

Neben den eigentlichen Amtsträgern gelten auch unmittelbare Familienmitglieder (Ehe-/Lebenspartner, Kinder, Eltern, Geschwister) und evtl. enge Vertraute als PEP.

Bei der Zusammenarbeit mit einer politisch exponierten Person (PEP) wird ein erhöhtes Risiko von strafrechtlich relevanten Aktivitäten wie Geldwäsche, Korruption oder Steuerhinterziehung angenommen und aus diesem Grund schreibt das GwG die Einhaltung verstärkter Sorgfaltspflichten vor (§ 15 GwG, Anlage 2 zum GwG). Leider gibt es keine staatliche oder übergeordnete Stelle (UN oder EU), die offizielle PEP-Listen herausgibt. Zur Prüfung gibt es hier aber ebenso zahlreiche (kostenpflichtige) Datenbanken von diversen Anbietern. Es besteht zwar aber keine Verpflichtung, die am Markt angebotenen PEP Datenbanken zu nutzen, aber die Nutzung indiziert in aller Regel die angemessene Erfüllung der Pflichten zur Abklärung des PEP-Status. Bei Missachtung dieser Pflicht kann es zu hohen Geldbußen und Reputationsverlust führen.

Wie geht es weiter?

Unser Ziel ist es, in unserem GRC-Cockpit sämtliche Prüfungen direkt aus den Stammdaten vorzunehmen bzw. ein System zur Prüfung an das GRC-Cockpit anzubinden. In den nächsten Schritten werden wir relevante Listen weiter eruieren, Software von unterschiedlichen Anbietern testen und die bestehenden Möglichkeiten unseres Systems prüfen. Über die weitere Entwicklung halten wir Sie über unsere Blog-Beiträge auf dem Laufenden.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Know your Customer“:
• auch Unternehmen, die nur in Deutschland Geschäfte machen müssen gegen Sanktionslisten prüfen
• welche Listen genau relevant sind, sind individuell für das Unternehmen zu betrachten
• Sanktionslisten und PEP-Listen sind erstmal unabhängig voneinander zu betrachten
• Einzelprüfungen oder Software / Datenbank – diese Entscheidung muss getroffen werden
• Eine einmalige Prüfung reicht nicht aus – Stammdaten müssen regelmäßig gegen Listen geprüft werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management und beleuchten die wesentlichen Risiken für kleine und mittelständische Unternehmen (KMU).

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Verzeichnis von Verarbeitungstätigkeiten aufbauen

Mai 20, 2021/in Compliance-Management, GRC@SAVISCON/von Karin Selzer

GRC@SAVISCON: Datenschutz-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GoBD – was hat sich geändert?“ der Reihe GRC@SAVISCON über die Aktualisierungen der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) berichtet haben, soll es heute um das Verzeichnis von Verarbeitungstätigkeiten gehen.

Ein kurzer Rückblick:

Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

In meinem letzten Blog zum Thema Datenschutz habe ich über das Verzeichnis von Verarbeitungstätigkeiten berichtet und darüber, dass das Verzeichnis als Zentrum bzw. Kern angesehen werden kann. Die komplette Dokumentation lässt sich um das Verzeichnis herum aufbauen und es kann auf Dokumente, Richtlinien, Vertragswerke, Rechtsgrundlagen und Maßnahmen verwiesen werden.

Was gehört alles in das Verzeichnis von Verarbeitungstätigkeiten?

Zur besseren Übersicht kann man mit dem Verzeichnis in übergeordneten Gruppen/Abteilungen starten (z. B. Personal, Buchhaltung, Vertrieb, Marketing) und dann mit Unterstützung der KollegInnen die entsprechenden Verarbeitungstätigkeiten darunter sammeln. Eine Verarbeitungstätigkeit stellt einen Prozess dar, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden, z. B. die Lohn- und Gehaltsabrechnung, ein System zur Zeiterfassung, das Bewerbermanagement oder die Videoüberwachung von Verkaufsräumen.

Detailtiefe bestimmen – eine Herausforderung

Als wir mit unserem Verzeichnis gestartet sind, haben wir uns immer wieder die Frage gestellt, was eigentlich als eine Verarbeitungstätigkeit zu sehen ist – wie feingranular muss das Verzeichnis aufgebaut werden? Hier kann keine pauschale Aussage getroffen werden, denn jedes Unternehmen ist individuell zu betrachten und natürlich spielt auch die Größe des Unternehmens eine Rolle. Aber wir haben für die SAVISCON entschieden, dass wir immer eine neue Verarbeitungstätigkeit dokumentieren, sobald sich die Kategorie der Daten oder die Gruppe der Empfänger unterscheidet.

Hier ein Beispiel aus der Praxis:

Mehrmals im Jahr führen wir Telemarketing-Aktionen über einen Dienstleister durch. Hierbei handelt es sich immer wieder um die gleichen Datenkategorien (Personendaten, Kontaktdaten) und auch die Empfänger (Dienstleister A und die Deutsche Post) sind identisch. Dieser Prozess wird als eine Verarbeitungstätigkeit in unserem Verzeichnis geführt, obwohl sie mehrmals im Jahr zu unterschiedlichen Themen/Produkten durchgeführt wird. In unserem GRC-COCKPIT ist dieser Prozess dann auch mit den Stammdaten von Dienstleister A verknüpft inkl. Dienstleistungsvertrag und Auftragsverarbeitungsvertrag.

Verknüpfung vom Prozess und der Verarbeitungstätigkeit mit dem Partner.

Wenn wir jetzt aber eine Telemarketing-Aktion mit einem anderen Dienstleister durchführen, wird es dazu eine neue, weitere Verarbeitungstätigkeit in unserem Verzeichnis geben. Auch wenn die gleichen Datenkategorien verarbeitet werden, haben wir einen anderen Empfänger der Daten (Dienstleister B und die Deutsche Post). Der neue Dienstleister wird ebenfalls in unserem GRC-COCKPIT als Partner erfasst und sämtliche Verträge damit verknüpft (Hauptvertrag und AV-Vertrag). So können wir ein strukturiertes Verzeichnis sicherstellen und behalten zusätzlich den Überblick über die Auftragsverarbeiter und die dazugehörigen Verträge. Endet eine Zusammenarbeit mit einem der Auftragsverarbeiter, so kann die Verarbeitungstätigkeit geschlossen/deaktiviert werden. Müssen AV-Verträge aktualisiert werden, kann ich über aktive Verarbeitungstätigkeiten die Auftragsverarbeiter ermitteln, die Aktualisierung strukturiert angehen und im GRC-COCKPIT zur besseren Nachverfolgung Termin-Überwachungen einrichten.

Verknüpfung von Partner mit Maßnahme und Anhängen.

Wie erkenne ich eine Verarbeitungstätigkeit?

Eine weitere Frage, die uns immer wieder beschäftigt: ist das überhaupt eine Verarbeitungstätigkeit und wenn ja, von uns oder von unserem Dienstleister? Wieder ein Beispiel aus der Praxis: Webinare über XING bewerben.
Wir haben uns dazu entschlossen, kostenfreie Webinare anzubieten und über XING zu bewerben. Wir nutzen XING als Dienstleister und XING schlägt unser Event in unserem Auftrag beispielsweise allen IT-Leitern vor und macht sie so auf unser Webinar-Angebot aufmerksam. Da wir in diesem Szenario keine Personen direkt anschreiben, findet keine Verarbeitung von personenbezogenen Daten durch uns statt, also keine Verarbeitungstätigkeit von uns – wohl aber von XING. Erst durch eine aktive Anmeldung zum Webinar erhalten wir personenbezogene Daten (Name, E-Mail-Adresse, etc.) und nutzen diese für die Termineinladung – erst jetzt ist es eine Verarbeitungstätigkeit für unser Verzeichnis.

Warum das Verzeichnis so wichtig ist:

Wie eingangs erwähnt, kann das Verzeichnis den zentralen Kern darstellen, um den man alles weitere aufbaut:

Grafik Verzeichnis von Verarbeitungstätigkeiten als Kern

Das Verzeichnis von Verarbeitungstätigkeiten als Kern des Datenschutz-Managements.

Mit jeder dokumentierten Verarbeitungstätigkeit werden die dazugehörigen Maßnahmen (TOM) verknüpft und dokumentiert. Werden Auftragsverarbeiter eingesetzt, so können die entsprechenden Vertragswerke (Dienstleistungsverträge, AV-Verträge, etc.) hinterlegt werden. Ebenso können aus dem Verzeichnis heraus Richtlinien (z. B. Archivierungsrichtlinien, Passwortrichtlinien, etc.), Arbeitsanweisungen und Konzepte (z. B. Löschkonzept) verlinkt werden.
Zur Erfüllung eines Auskunftsersuchens (Betroffenenrechte laut DSGVO) liefert das Verzeichnis wichtige Informationen, nämlich welche Daten sind wo gespeichert und warum und wie lange. Und auch eine Datenschutz-Folgenabschätzung kann (falls notwendig) direkt aus der entsprechenden Verarbeitungstätigkeit abgeleitet werden. Sie sehen, es lohnt sich Zeit und Mühe in das Verzeichnis zu stecken, da viele andere Themen darauf aufgebaut werden können.

In meinem nächsten Datenschutz-Blog wird die Datenschutz-Folgenabschätzung (kurz: DSFA) Thema sein. Auch hier haben wir in unserem GRC-COCKPIT neue Features eingebaut. Lassen Sie sich überraschen …

…to be continued:

Hier die Zusammenfassung der neuen Erkenntnisse aus dem Projekt Datenschutz:

für die Struktur des Verzeichnisses am besten mit übergeordneten Gruppen (Abteilungen) starten und darunter die einzelnen Verarbeitungstätigkeiten sammeln
Festlegung treffen, wie feingranular das Verzeichnis aufgebaut werden soll
das Verzeichnis kann als Zentrum/Kern gesehen werden
es lohnt sich, Zeit und Mühe in das Verzeichnis zu stecken, da alles Weitere darauf aufbaut

Im nächsten Blog-Beitrag schauen wir wieder in das Projekt Datenschutz: Datenschutz-Folgenabschätzung.

Über die Autorin:

Digitalisierung von Compliance-Management-Prozessen

Mai 12, 2021/in Compliance-Management/von Ingo Simon

Chance für eine ganzheitliche Betrachtung

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Digitalisierung von Compliance-Prozessen ist auf dem Vormarsch! Diesen Trend bestätigen, stellvertretend für zahlreiche andere Ausführungen und Studien, beispielsweise die jährlichen Studien von Deloitte „The Future of Compliance 20xx”. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Durch die verteilte Bearbeitung bestimmter Compliance-Themenbereiche kann so in größeren Organisationen eine unkoordinierte Anhäufung von IT-Anwendungen entstehen. Das erhöht die Komplexität entweder für den IT-Betrieb, oder, bei starker Nutzung von Cloud-Dienstleistungen, den Aufwand für Datenschutz und Providermanagement. Es erhöht aber nicht unbedingt die Transparenz über alle Compliance-Aktivitäten in der Organisation. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen.

Unterschiedliche Anforderungen führen zu einer Sammlung verschiedener IT-Anwendungen

Die Digitalisierung bietet bereits heute viele Lösungen für bestimmte Compliance-Themenfelder an. Gemäß der Studie von Deloitte „The Future of Compliance 2020“ sind es vor allem Anwendungen für Sanktionslistenprüfung, Geldwäsche-Screening/KYC und Hinweisgebersysteme, die digital gut bis sehr gut funktionieren. Richtung Compliance-Kultur, Kommunikation und Sensibilisierung sind E-Learning und Computer-Based-Trainings bereits weit verbreitet. In der Zukunft werden sich weitere Systeme etablieren. Dabei sind es sicher Detektionsmechanismen, getrieben durch Big Data Analytics und KI, die zukünftig eine größere Rolle spielen werden. Wie etwa die bereits gängigen Anwendungen, welche aus Millionen Kontobewegungen auffällige Transaktionen herausfiltern und diese dem Compliance-Team anzeigen. Für jedes weitere Big Data Analyseziel muss allerdings immer ein eigenes Analysemodell und damit eine weitere Anwendung implementiert oder eingebunden werden.

Die Bearbeitung verschiedener Compliance-Themen ist über die Organisation verteilt

Wechseln wir einmal die Perspektive weg von IT-Systemen auf die Organisation selbst. „Vorzugsweise ist das Compliance-Management […] in das Finanz-, Risiko-, Qualitäts-, Umwelt- und Gesundheitsmanagement der Organisation und die betrieblichen Gegebenheiten und Prozesse integriert.“ Dieser Satz trifft den Nagel auf den Kopf, und das nicht ganz unerwartet. Schließlich steht er in der Einleitung der DIN ISO 19600:2016-12 Compliance-Managementsysteme – Leitlinien. Und eigentlich müsste man in dem Satz heutzutage noch das IT-Sicherheitsmanagement und das Management des Datenschutzes ergänzen.

Dennoch ist die Wahrnehmung im Austausch mit unseren Kunden eine andere. Die Rechtsabteilungen größerer Organisationen behandeln in der Regel die gängigen Themen wie Geldwäsche und Terrorismusbekämpfung, Kartellrecht, Bestechung und Bestechlichkeit in einem Team. In der Finanzindustrie beispielsweise kommen die spezifischen Anforderungen der BaFin wie MaRisk, VAIT oder einschlägige Gesetze wie das Versicherungsvertragsgesetz noch dazu. Die Überprüfung weiterer bindender Verpflichtungen liegt jedoch regelmäßig in anderen Organisationseinheiten bei dazu ernannten Beauftragten. Hier geht es um Datenschutz, Umweltschutz, Arbeitsschutz, Betreiberverantwortung oder (IT-)Sicherheitsmanagement, um einmal die häufigsten zu nennen. Die benannten Beauftragten sitzen eher selten in der Compliance-Abteilung. Sie nehmen „ihre“ Themen für sich mit und bearbeiten diese nach bestem Wissen und Gewissen. Und das unter Umständen noch in eigenen, spezialisierten IT-Anwendungen.

Die digitale Klammer – ein digitales CMS

Die Anzahl der spezifischen Compliance-Anwendungen gepaart mit der Verteilung der Compliance-Themen auf die verschiedenen Organisationseinheiten erschwert den Überblick. Transparenz über den gesamten Compliance-Status einer Organisation zu erhalten, und diesen an verschiedene Stakeholder zielgruppengerecht und tagesaktuell zu berichten, wird so zur ständigen Herausforderung für die Ausführenden der Compliance-Funktion.

Hier kann die Digitalisierung klar weiterhelfen. Sie schafft mit einer Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Das liegt daran, dass für die Themengebiete oft eigene Managementsysteme entworfen worden sind, wie ein Blick auf die einschlägigen DIN/ISO Standards zeigt. Die Anforderungen an die Prozesse in den Managementsystemen sind daher weitestgehend deckungsgleich. Die gängigen Managementsysteme orientieren sich in der Regel am Deming-Zyklus (Plan-Do-Check-Act) oder ähnlichen Konstrukten zur kontinuierlichen Verbesserung. Ein generischer digitaler CMS Kernprozess stellt sich wie folgt dar:

Kernprozess eines Compliance-Management-Systems

Beispielhafter Ablauf des Prozesses

Es beginnt mit Informationen, die möglicherweise Auswirkungen auf die Compliance haben. Diese Information werden in den Identifikationen am Anfang des Prozesses dokumentiert und über Workflows einer Würdigung durch eine oder mehrere betroffene Fachabteilungen zugeführt. Dabei kann es verschiedene Quellen für Identifikationen geben. Ob nun der Entwurf des Lieferkettengesetztes oder die Anbahnung eines Großauftrags zur Lieferung von Maschinenteilen ins Ausland. Beide Identifikationen müssen bezüglich der Abhängigkeit oder Auswirkungen auf die Compliance untersucht werden. Auch Einträge aus einem Hinweisgebersystem können über einen besonders geschützten Workflow anonymisiert und neutralisiert in Identifikationen hineinlaufen. Nur, wenn die Untersuchung der Identifikation einen Handlungsbedarf ergibt, läuft die Information in den Compliance-Management-Kernprozess.

Im Falle des Gesetzentwurfs wird das Gesetz als Anforderung in das System geladen. Es wird geprüft, ob die Organisation gegenüber den neuen Anforderungen bereits Maßnahmen implementiert hat, die den Anforderungen gerecht werden. Ist das der Fall, werden die Maßnahmen dokumentiert und mit der Anforderung verknüpft. Ist das nicht der Fall, muss die Risikoprüfung erfolgen und festgestellt werden, ob die Non-Compliance hier ein wesentliches Risiko darstellt. Wenn ja, müssen entsprechende Maßnahmen zur Risikobehandlung abgeleitet und geplant werden. Die Umsetzung aller Maßnahmen muss überwacht und deren Wirksamkeit festgestellt werden.

Bei dem Beispiel des Großauftrags leitet man direkt aus der Identifikation die Risiken ab, welche der Auftrag mit sich bringt. Beispielsweise Währungsrisiken, Risiken der Logistik oder auch Risiken aufgrund politischer Rahmenbedingungen. Aber auch Maßnahmen können direkt aus der Identifikation abgeleitet bzw. bereits vorhandene Maßnahmen damit verknüpft werden. Zum Beispiel die bereits bestehenden Standardmaßnahmen zur Überprüfung der Sanktionslisten und die Prüfung, ob Dual-Use bei den zu liefernden Maschinenteilen möglich und die Lieferung damit erlaubt ist. Auch diese Maßnahmen bekommen jeweils eine Überwachung und müssen bezüglich Durchführung und Wirksamkeit im System dokumentiert werden.

Die generische Anwendung ermöglich ein umfassendes Berichtswesen

Dieses Vorgehen lässt sich auf beliebige Compliance-Themen ausweiten. Jede Information, die relevant sein könnte, wird als Identifikation einer Würdigung unterzogen. Wird kein Handlungsbedarf festgestellt, so ist trotzdem im System dokumentiert, dass das Thema betrachtet wurde und warum diese Einschätzung getroffen wurde. Alle anderen Themen laufen in den Kernprozess, der generisch für alle Themen funktioniert.

Da alles in einem System stattfindet, ist auch das zielgerichtete Reporting leicht umgesetzt. Dabei geht es zum einen um Berichte in Form von Dokumenten, aber vor allem auch um ein Cockpit, in dem der Zustand des Systems immer aktuell auf einen Blick erfassbar ist:

Mögliches Beispiel für eine Cockpit Ansicht

In einer operativen Plausibilitätsprüfung können Auffälligkeiten ausgewertet und dargestellt werden, sodass mit einem Mausklick direkt die Auffälligkeiten betrachtet, analysiert und behoben werden können.

Screenshot Health Check aus dem GRC-COCKPIT

Mögliches Beispiel für eine Plausibilitätskontrolle.

Ein weiterer Vorteil des digitalen CMS ist, dass für interne und auch externe Audits alle Information im System vorhanden sind. Man kann also die Auditoren mit temporären und gezielten Zugriffsberechtigungen den Zustand des Compliance-Management-Systems vorab remote prüfen lassen, bevor ggf. eine örtliche Begehung stattfindet. Das reduziert die Reisetätigkeit und beschleunigt den Auditprozess erheblich.

Das bringt uns zurück an den Beginn dieses Textes. Die Ausführung soll zeigen, dass es mit einem solchen generischen Ansatz gelingen kann, alle Compliance-Themengebiete und auch Managementsysteme in einer Anwendung abzubilden. Entsprechende zielgruppenkonforme Sichten zeigen den spezifischen Anwendern genau die Informationen, die sie benötigen. Trotzdem hat aber die Unternehmensleitung einen vollständigen und ganzheitlichen Überblick, wie es um das Compliance-Management im Unternehmen bestellt ist. Das funktioniert allerdings nur, wenn die Compliance-Management-Prozesse komplett in einem digitalen CMS abgebildet sind, das die digitale Klammer um alle darunter liegenden Einzelprozesse und IT-Anwendungen bildet.

Fazit: Eine digitale Umsetzung eines Compliance-Management-Systems eröffnet die (einzige) Chance, trotz der großen Menge der anfallenden Daten und unabhängig von der Größe der Organisation, das CMS ganzheitlich aufzusetzen. Es ermöglicht ein Aufbrechen der Prozess-Silos und schafft damit erhebliche Synergieeffekte, die in der Bearbeitung der Compliance-Themen im gesamten Unternehmen gehoben werden können.

Über den Autor

GoBD – was hat sich geändert?

April 29, 2021/in Compliance-Management, GRC@SAVISCON/von Karin Selzer

GRC@SAVISCON: Compliance-Management

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: IT-Sicherheit“ der Reihe über unsere Schritte nach der Schutzbedarfsanalyse berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

In meinem letzten Compliance-Blog-Beitrag habe ich über die Vorschrift GoBD geschrieben (GoBD = „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) und dass sie zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert wurde. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Um welche Änderungen es sich genau handelt, will ich nun näher ausführen.

Am grundsätzlichen Aufbau der GoBD und der Nummerierung hat sich nicht viel verändert, aber es gibt einige Anpassungen, die aufgrund technischer Entwicklungen und zunehmender Digitalisierung längst überfällig waren. Hier ein paar Beispiele:

Verwendung von Cloudtechnologien

Im Kapitel 1.11 Datenverarbeitungssystem wurde unter Punkt 20 ergänzt, dass die Nutzung von Cloudsystemen ebenso möglich ist. Das Datenverarbeitungs- und Ablagesystem kann auch aus einer Kombination von eigener Hard- bzw. Software und einem Cloudsystem betrieben werden. Wichtiger Hinweis: Befindet sich der Cloud-Server im Ausland, ist eine Genehmigung zur Aufbewahrung der Buchführungsunterlagen im Ausland gem. § 146 Abs. 2 AO erforderlich.

Auszug aus der GoBD Stand 01.01.2015 (alt):	Auszug aus der GoBD Stand 01.01.2020 (neu):

Digitalisierung von Belegen

Im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 130 beschrieben, dass Handels- oder Geschäftsbriefe sowie Buchungsbelege in Papierform empfangen und danach elektronisch erfasst (gescannt) werden dürfen. Durch die Aktualisierung wird nun klargestellt, dass auch das mobile Scannen bzw. Abfotografieren mittels Smartphone erlaubt ist. Dies gilt sowohl im In- als auch im Ausland und stellt gerade bei Reisekostenabrechnungen eine erhebliche Erleichterung dar. Das elektronische Dokument muss selbstverständlich weiterhin bildlich mit dem Original übereinstimmen.

Auszug aus der GoBD Stand 01.01.2015 (alt):	Auszug aus der GoBD Stand 01.01.2020 (neu):

Umwandlung (Konvertierung) und Aufbewahrung von Belegen

Ebenfalls im Kapitel 9.2 Elektronische Aufbewahrung ist unter Punkt 135 eine weitere Erleichterung zu finden, und zwar ist es zukünftig ausreichend die konvertierte Fassung aufzubewahren, wenn bestimmte Voraussetzungen erfüllt sind (s. nachfolgenden Auszug). Die Ursprungsversion kann dann vernichtet werden.

Auszug aus der GoBD Stand 01.01.2015 (alt):	Auszug aus der GoBD Stand 01.01.2020 (neu):

Verfahrensdokumentation

Für jedes buchführungsrelevante IT-System muss eine Verfahrensdokumentation geführt werden (Kapitel 10.1 Verfahrensdokumentation Punkt 154). Bislang war vorgeschrieben, bei Änderungen immer eine neue Version zu erstellen. Dies wurde nun vereinfacht: es reicht zukünftig aus, wenn die Änderungen versioniert sind und eine nachvollziehbare Änderungshistorie vorgehalten wird.

Auszug aus der GoBD Stand 01.01.2015 (alt):	Auszug aus der GoBD Stand 01.01.2020 (neu):

Aber es gibt nicht nur Erleichterungen, die die aktualisierte GoBD mit sich bringt. Hier zum Beispiel auch eine verschärfende Anpassung:

Zeitgerechte Buchungen

Bisher wurde eine tägliche Erfassung von Kasseneinnahmen und Kassenausgaben empfohlen, nun ist die tägliche Erfassung verbindlich vorgeschrieben (Kapitel 3.2.3 Zeitgerechte Buchungen und Aufzeichnungen Punkt 48):

Auszug aus der GoBD Stand 01.01.2015 (alt):	Auszug aus der GoBD Stand 01.01.2020 (neu):

Weiterentwicklung GRC-COCKPIT

Es ist wichtig bei Neuerungen eines Gesetzes oder einer Vorschrift die Neuerungen zu (er)kennen, einen eventuellen Änderungsbedarf festzustellen, die eigenen Prozesse dahingehend zu prüfen, und daraus passende Maßnahmen / Anpassungen zu ergreifen, wenn notwendig. Um unsere Kunden hierbei mit unserem GRC-COCKPIT unterstützen zu können, entwickeln wir das System kontinuierlich weiter. Bislang ist der Aktualisierungsservice nur für gängige Gesetze (die im Internet abrufbar sind) möglich, doch unsere Entwicklungsabteilung ist gerade dabei, die Funktion technisch zu erweitern. So soll es zukünftig möglich sein, anhand von zwei PDF-Dateien individuell einen Abgleich zu starten, der textliche Änderungen/Ergänzungen hervorbringt. So können auch diverse Vorschriften, wie z. B. eine Neufassung der GoBD über den Aktualisierungsservice aktualisiert werden.
Die Änderungen werden im System in der entsprechenden Norm kenntlich gemacht und es soll ebenso ein Hinweis an den Anwender erfolgen, dass sich etwas geändert hat, ein sogenannter Alert. Bei bestehendem Handlungsbedarf können dann gleich im System Maßnahmen angepasst oder neue Maßnahmen abgeleitet werden.

GoBD in der Praxis

Da wir nun Klarheit haben, welche Änderungen die aktualisierte Version der GoBD beinhaltet, ist die praktische Umsetzung intern in vollem Gange. Wir prüfen unsere Prozesse, führen bei Bedarf Anpassungen durch und ergreifen ggf. neue Maßnahmen. Zum Beispiel haben wir die E-Mail-Archivierung vollständig umgesetzt. Warum ist das wichtig?

Wie in meinem letzten Blog „Zu klein für Compliance?“ bereits ausführlich berichtet, nimmt der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zu. Hier ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung ist unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren. Es ist aber nicht ausreichend, die E-Mails einfach im Mailprogramm (ggf. in Unterordner) aufzubewahren. Denn dort sind Grundsätze der GoBD (z. B. Unveränderbarkeit, die zuverlässige Protokollierung von Änderungen und die Indexierung) nicht gewährleistet. Es ist aber auch nicht zwingend notwendig, alle E-Mails zu archivieren. E-Mail-Korrespondenz, die keiner Aufbewahrungspflicht unterliegt und auch keine steuerrelevanten Daten beinhaltet muss nicht archiviert werden.

Wir haben uns im ersten Schritt für eine E-Mail-Archivierung über unseren Hosting-Anbieter entschieden. Uns war wichtig, dass die Sicherung in deutschen Rechenzentren und natürlich GoBD-konform stattfindet. Aufgrund unserer noch überschaubaren Firmengröße ist die Entscheidung erstmal gegen ein professionelles Dokumentenmanagement-System (DMS) gefallen. Aber was nicht ist, kann ja noch werden. Zu einem späteren Zeitpunkt ist ein DMS für uns auf jeden Fall ein nächster Schritt. Durch unsere aktuelle Archivierungslösung sind jedenfalls die maschinelle Auswertbarkeit, die Volltextrecherche und die Unveränderbarkeit gewährleistet.

Wie sieht es bei Ihnen aus? Sind Sie in Ihrem Unternehmen GoBD-konform oder sind noch Anpassungen notwendig?

…to be continued:

Hier die Zusammenfassung unserer neuen Erkenntnisse:

Änderungen in Gesetzen und Vorschriften immer im Auge behalten
Änderungsbedarf ist immer individuell für jedes Unternehmen zu betrachten
Maßnahmen sind ebenso individuell (je nach Risikobetrachtung) verhältnismäßig umzusetzen
Klein anfangen (E-Mail-Archivierung über Hosting-Anbieter) und nach und nach optimieren/ausbauen (eigenes DMS)
Compliance ist kein Projekt mit einem festen Ende – Compliance ist ein dauerhafter Prozess, der gelebt werden muss

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Datenschutz: Verzeichnis von Verarbeitungstätigkeiten aufbauen.

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

GRC@SAVISCON: Compliance

März 11, 2021/in Compliance-Management, GRC@SAVISCON/von Karin Selzer

Zu klein für Compliance?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: Datenschutz“ der Reihe über den Start unseres Datenschutz-Managements berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

Ähnlich wie beim Thema Datenschutz stellte ich mir auch hier die Frage: wo fange ich da am besten an? Was ist „Compliance“ überhaupt? Der englische Begriff wird sinngemäß wie folgt definiert: Compliance ist die Einhaltung von Gesetzen, Normen und Regeln. Früher war Compliance überwiegend ein Thema für die Bankwirtschaft und Versicherungsbranche, doch mittlerweile entwickelt sich in vielen unterschiedlichen Unternehmen immer stärker eine Compliance-Kultur. Angefangen mit Richtlinien, wie z. B. Verhaltensregeln des Unternehmens, die im Intranet veröffentlicht werden. Solche Richtlinien können Regeln bezüglich des Datenschutzes und der Gleichbehandlung enthalten, aber auch Regeln zur Vermeidung von Korruption sowie Vorschriften zum Arbeitsschutz. Aber auch eine Geschäftsordnung oder Satzung, ein Whistleblowing-System und auch gesetzliche Vorgaben können Teil eines Compliance-Programmes sein.

Compliance-Treiber

Ist Compliance für alle Unternehmen wichtig? Ja! Ist die SAVISCON GmbH nicht zu klein, um sich mit diesem Thema beschäftigen zu müssen? Nein, ist sie nicht! Natürlich sind die Risiken unterschiedlich zu bewerten – je nach Unternehmensgröße (Mitarbeiteranzahl, Umsatz, etc.). Aber jede Geschäftsleitung ist verpflichtet, sämtliche geltenden Gebote und Verbote zu kennen und zu beachten. Ist das nicht der Fall, können rechtliche Folgen (Geldbußen, Freiheitsstrafen, Ersatzansprüche, Auftragssperren) oder auch Reputations- und Vertrauensverluste drohen.

Nutzen + Akzeptanz

Durch eine funktionierende Compliance-Kultur im Unternehmen werden nicht nur hohe Kosten durch evtl. entstehende Bußgelder vermieden, sondern es erhöht sich die Transparenz und das gegenseitige Vertrauen wird weiter gefördert. Wie bei vielen anderen Themen auch, erfordert eine wirksame Compliance-Kultur aber das tatsächliche Handeln aller, und zwar auf allen Hierarchieebenen. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von der Unternehmensleitung selbst vorgelebt werden. Ist dies nicht der Fall, wird aufgrund fehlender Akzeptanz auch keine Compliance-Kultur im Unternehmen gelebt werden.

Compliance-Management-System

Um eine Compliance-Organisation aufzubauen, zu dokumentieren, zu überwachen und weiterzuentwickeln ist ein Compliance-Management-System sinnvoll. Wir nutzen hier wieder unser GRC-COCKPIT. Doch wie starte ich nun am besten? Im ersten Schritt sind die Risiken zu identifizieren und zu bewerten. Wenn Sie sich erinnern, hat dazu mein Kollege Uwe Straßberger bereits einen Blog geschrieben (NO RISK – MORE FUN! GRC@SAVISCON) und ein bisschen aus dem Nähkästchen geplaudert. Wenn wir mit der Risikoidentifizierung und Risikobewertung fertig sind, geht es darum, mit meinen Kollegen ein gemeinsames Verständnis für die aktuelle Risikosituation zu erreichen. Welche Compliance-Risiken liegen vor und mit welchen Maßnahmen können wir hier gegensteuern? Dazu aber mehr in einem der nächsten Blog-Beiträge.

Compliance in der Praxis

Parallel zum Thema Risiko haben wir uns dazu entschlossen, eine Vorschrift näher zu betrachten, und zwar die GoBD: die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD und deren Vorgaben sind relevant für alle EDV-Systeme, die steuerrelevante Daten erfassen bzw. verarbeiten. Mit diesen Systemen ist aber nicht nur das Buchführungsprogramm gemeint, sondern auch sogenannte Vor- und Nebensysteme (z. B. Zeiterfassungssysteme, elektronische Waagen, Software zur Erfassung von Dienstreisen o. ä.)

Die erste GoBD wurde zum 01.01.2015 eingeführt und zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Mit dem neuen Stand wurden einige Änderungen und Vereinfachungen für die Praxis eingeführt. Man sollte also immer darauf achten, auf dem aktuellen Stand der Dinge zu sein. Hier zwei Auszüge aus dem GRC-COCKPIT zur GoBD:

Blick ins GRC-COKPIT: hier alle relevanten Anforderungen aus den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

Blick in die Anforderung „Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme.

Gerade sichten wir die Neuerungen zur aktuellen Version und pflegen diese im GRC-COCKPIT entsprechend ein. Der aktuelle Stand steht dann selbstverständlich auch unseren Kunden als Norm zur Verfügung.

GoBD Praxis-Beispiel

Aber jetzt zu einem Beispiel aus der Praxis: Die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Auszeichnungen ist nach den gleichen Prinzipien zu beurteilen wie die Ordnungsmäßigkeit bei manuell erstellen Büchern und Aufzeichnungen. Das bedeutet beispielsweise, dass elektronische Daten auch elektronisch archiviert werden müssen. Da der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zunimmt, ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren.

Die Archivierung gemäß der GoBD umfasst fünf zentrale Aspekte:

Originalformat (Die Buchhaltung darf eine Rechnung, die per E-Mail eingeht, nicht einfach ausdrucken und abheften. Vielmehr gilt es, das Originalmedium zu verwenden. Jedes Dokument muss in seiner überbrachten Form archiviert werden. Eine Papierrechnung kommt in den Aktenordner, während die E-Mail in einem elektronischen Archiv abgespeichert wird.)
Unveränderbarkeit (Die elektronischen Dokumente dürfen nicht im Nachhinein bearbeitet und verändert werden. Sie müssen in einer Form abgelegt werden, dass Unbefugte das Dokument nicht öffnen oder transferieren können.)
Volltextsuche (Das Finanzamt bekommt bei einer Betriebsprüfung Zugang zum Datensystem. Dem Betriebsprüfer wird hier nicht nur ein betriebsinterner Rechner für seine Prüfung zur Verfügung gestellt, sondern es muss auch alles über eine Volltextsuche einfach aufzufinden sein. Die E-Mails müssen im Originalzustand vorhanden sein (keine Screenshots oder Scans).
Ordnungssystem (Durch die Zuweisung von eindeutigen Indices muss das Ordnungssystem gut überschaubar sein. Der Index muss die Suche nach bestimmten Dokumenten erleichtern. Um E-Mails GoBD-konform zu archivieren, müssen sie eine Zuordnung zu einem Geschäftsvorgang erkennen lassen.)
Transparenz (Das Ordnungssystem muss so aufgebaut sein, dass eine externe Person die Struktur leicht verstehen kann. Um dem Betriebsprüfer seine Arbeit zu erleichtern, können schriftliche Anleitungen den Aufbau der Struktur in der Archivierung dokumentieren.)

Außerdem sind je nach Dokument unterschiedliche Aufbewahrungsfristen zu beachten: E-Mails, die für die Steuerbehörden von Interesse sein können, müssen für sechs bis zehn Jahre elektronisch archiviert werden. Was passiert eigentlich, wenn man als Unternehmer die Vorgaben der GoBD nicht erfüllt? Das kann dazu führen, dass das Finanzamt wichtige Dokumente nicht anerkennt. In der Folge können evtl. Steuerabzüge nicht geltend gemacht werden, was zu höheren Steuerabgaben führen kann. Es lohnt sich also hier dranzubleiben und das Thema Compliance nicht aus den Augen zu verlieren. Auch wenn das Unternehmen noch so klein ist …

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Compliance:

Compliance ist für alle Unternehmensgrößen ein wichtiges und notwendiges Them
Nur wenn die Unternehmensleitung Compliance vorlebt und mit gutem Beispiel vorangeht, kann eine wirksame Compliance-Kultur entstehen
Auch bei knappen Ressourcen darf das Thema nicht außer Acht gelassen werden
Compliance funktioniert nur in Verbindung mit einem guten Risiko-Management

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management: Wie funktioniert die Risikobewertung?

Über die Autorin:

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.