Kitabı oku: «Compliance Management im Unternehmen», sayfa 2
Inhaltsverzeichnis
1 Vorwort
2 Abkürzungsverzeichnis
3 Teil 1 Grundlagen, Erfolgsfaktoren und Handlungsstrategien 1. Kapitel Compliance Management – Grundlagen, Orientierungshilfen und Erfolgsfaktoren I. Grundlagen und Zusammenhänge 1. Bedeutung von Compliance und positive Wirkung von Compliance Management 2. Compliance Management als Inbegriff rechtskonformer Verbandsorganisation 3. Risiken und Nachteile von Regelverletzungen und „Non-Compliance“ 4. Funktionen von Compliance und Compliance Management 5. Permanente Aufgabe im dynamischen regulatorischen Umfeld 6. Erweiterung von Organisationspflichten durch Gerichte 7. Beachtung von Compliance-Anforderungen anderer Rechtsordnungen 8. Compliance Management im Kontext aktueller Entwicklungen von 9. Verbindungslinien zum Reputationsmanagement II. Vorgaben und Orientierungshilfen für Compliance Management 1. Compliance-Organisationspflicht als verbandsübergreifende Ausprägung der Leitungsverantwortung 2. Individuelle Ausgestaltung des Compliance Managements 3. Vielfalt an Vorgaben und Orientierungshilfen a) Branchenspezifische Sonderregeln als Erkenntnisquelle b) Erkenntnisse des Risikomanagements aa) Besonderheiten von Compliance-Risiken bb) Berücksichtigung integrativer Perspektiven (Beispiel GRC-Ansatz) c) Anforderungen an Aufsichts- und Überwachungsmaßnahmen d) Vorgaben der Unternehmensorganisationspflichten und Garantenpflichten e) Beispiele von Leitfäden anderer Rechtsordnungen aa) UK Bribery Act (Vereinigtes Königreich) bb) Leitfaden des Department of Justice (USA) f) Compliance-Standards als Orientierungshilfe (Beispiel IDW PS 980) III. Erfolgsfaktoren für ein wirksames Compliance Management 1. Gestaltungsermessen bei Strukturen, Prozessen und Systemen 2. Konzeption einer individuellen Compliance-Strategie a) Fokussierung auf effektive Compliance-Maßnahmen b) Wahl eines unternehmensspezifischen Organisationsmodells c) Ermittlung des besonderen Compliance-Risikoprofils aa) Systematische Identifikation von Compliance-Risiken bb) Analyse und Bewertung cc) Entwicklung von Risikosteuerungsmaßnahmen dd) Berichterstattung zu Compliance-Risiken ee) Regelmäßige Compliance-Audits d) Klärung von Zuständigkeiten und Delegationsfragen e) Eigenständige und unabhängige Positionierung der Compliance Officer f) Förderung und Incentivierung von Regeltreue (Compliance-Kultur) aa) Compliance Commitment durch die Unternehmens- und Verbandsleitung bb) Akzeptanz von Compliance-Maßnahmen als Grundlage der Befolgung cc) Kommunikation von Werten für Regelungslücken und „Graubereiche“ 3. Verfassung von Regeln, Richtlinien und Werten 4. Compliance als Personalführungs- und Schulungsaufgabe a) Zielgruppenorientierte Schulungs- und Fortbildungsprogramme aa) Bedarfsanalyse und Zielgruppenorientierung bb) Positionierung von Compliance als „Business enabler“ cc) Aktualisierung und Anpassung der Fortbildungsformate dd) Aktive Einbeziehung der Unternehmensangehörigen b) Anreize für Compliance 5. Integration von Compliance-Themen in die Geschäftsprozesse 6. Koordination der Zusammenarbeit mit anderen Unternehmensfunktionen 7. Einrichtung von wirksamen Kontrollen und Feedback-Prozessen 8. Aufklärung von Verstößen und Bedeutung von Hinweisgebersystemen 9. Konsequente Sanktionierung von regelwidrigem Verhalten 10. „Legal Monitoring“ und regelmäßige Aktualisierung 11. Angemessene Dokumentation IV. Vorteile eines effektiven Compliance Managements 1. Prävention und Reduzierung der Kostenrisiken und Nachteile von „Non-Compliance“ 2. Schutz von Unternehmen, Leitungsorganen und Unternehmensangehörigen 3. Sicherung der Reputation und Vertrauenserhalt der Stakeholder 4. Eröffnung und Wahrung rechtlicher Chancen und Gestaltungsoptionen 5. Vorteile beim Marketing und im Wettbewerb 6. Verteidigungsmöglichkeiten bei „Non-Compliance“ 7. Verbesserung von Strukturen und Prozessen V. Zusammenfassung und Empfehlungen 2. Kapitel Compliance Management und Strafrecht I. Einführung in die Criminal Compliance II. Strafrechtliche Grundlagen der Compliance-Verpflichtung III. Typische strafrechtliche Compliance-Risiken 1. Korruption a) Vorteilsgewährung (§ 333 StGB) b) Bestechung (§ 334 StGB) c) Bestechung von Mandatsträgern (§ 108e StGB) d) Bestechung im geschäftlichen Verkehr (§ 299 Abs. 2 StGB) e) Bestechlichkeit im geschäftlichen Verkehr (§ 299 Abs. 1 StGB) f) Bestechung im Gesundheitswesen (§ 299b StGB) g) Auslandskorruption h) Korruptionsdelikte im weiteren Sinne 2. Untreue (§ 266 StGB) a) Generierung von Bestechungsgeld b) Zahlung von Bestechungsgeld 3. Steuerverkürzung (§§ 370ff. AO) IV. Strafrechtliche Risiken der Non-Compliance für die Verantwortlichen des Unternehmens 1. Originäre strafrechtliche Verantwortlichkeit a) Verantwortlichkeit der Geschäftsleitung b) Gremienentscheidungen c) Delegation von Verantwortungsbereichen d) Verantwortlichkeit des Compliance Officers e) Aufsichtsrat 2. Innerbetriebliche Anweisungen/Täterschaft kraft Organisationsherrschaft 3. Fahrlässigkeitshaftung (sog. Organisationsverschulden) 4. Verletzung der Aufsichtspflicht in Betrieben und Unternehmen (§ 130 OWiG) V. Strafrechtliche Risiken der Non-Compliance für das Unternehmen 1. (Unternehmens-)Strafrecht a) Überblick b) Verbandssanktionengesetz208 c) Einziehung c) Das Unternehmen als Nebenbeteiligter im Strafverfahren 2. Ordnungswidrigkeitenrecht a) Unternehmensgeldbuße gem. § 30 OWiG b) Das Unternehmen als Nebenbeteiligter im Verfahren wegen § 30 OWiG c) Einziehung (§ 29a OWiG) VI. Sonstige Risiken für das Unternehmen und seine Verantwortlichen 1. Blacklisting und Vergabesperren a) Registereintragungen aa) Bundeszentralregister bb) Gewerbezentralregister cc) Vergabe- bzw. Wettbewerbsregister dd) Verbandssanktionenregister ee) Sonstige Register b) Vergaberechtliche Konsequenzen 2. Inhabilität (§§ 70 StGB, 6 GmbHG, 76 AktG) 3. Aufsichtsrechtliche Konsequenzen VII. Strafrechtliche Risiken innerhalb des Compliance- Prozesses („failed compliance“) 3. Kapitel Compliance Management als Schnittstellenaufgabe – Überlegungen und Anregungen zur erfolgreichen Zusammenarbeit mit anderen Unternehmensfunktionen I. Einleitung II. Unternehmensfunktionen und ihre Interaktion im Sinne der Compliance 1. Geschäftsleitung 2. Aufsichtsrat 3. Rechtsabteilung 4. Personalabteilung 5. Betriebsrat24 6. Finanzfunktion 7. Innenrevision 8. Wirtschaftsprüfer 9. Unternehmenskommunikation 10. Andere 11. Fallbeispiel III. Fazit 4. Kapitel Einführung eines „Code of Conduct“ I. Einleitung II. Ausgestaltung 1. Erscheinungsformen 2. Typische Regelungen III. Einführung eines „Code of Conduct“ 1. Individualvertragliche Umsetzung a) Weisungsrecht des Arbeitgebers b) Vertragliche Vereinbarung c) Änderungskündigung 2. Betriebsvereinbarung IV. Datenschutzrechtliche Implikation V. Mitbestimmungsrecht des Betriebsrats 5. Kapitel Whistleblowing-Systeme – Aufbau und Management I. Einleitung 1. Begriffsbestimmung 2. Gründe für die Einführung eines Whistleblowing-Systems 3. Aktuelle Rechtliche Rahmenbedingungen a) Internationale Anforderungen aa) Sarbanes Oxley Act (SOX) (USA) bb) Dodd-Frank Act (USA) cc) UK Bribery Act32 (Großbritannien) dd) OECD-Übereinkommen vom 17.12.1997 b) Aktuelle Rechtslage in Deutschland aa) Gesellschaftsrechtliche Vorgaben bb) Ordnungswidrigkeitenrechtliche Vorgaben cc) Vorgaben des Deutschen Corporate Governance Kodex dd) Vorgaben aus der Rechtsprechung II. Die neuen Vorgaben der EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden 1. Ziel der Richtlinie 2. Überblick über den Inhalt der Richtlinie 3. Sachlicher Anwendungsbereich 4. Persönlicher Anwendungsbereich der Richtlinie 5. Voraussetzungen für den Schutz von Hinweisgebern a) Gemeinsame Schutzvoraussetzungen b) Besondere Voraussetzung in Abhängigkeit von dem gewählten Meldeweg aa) Interne Meldungen gemäß Art. 7 WBRL bb) Externe Meldungen gemäß Art. 9 WBRL cc) Offenlegung gemäß Art. 15 WBRL 6. Pflicht zur Einrichtung eines internen Hinweismanagementsystems a) Juristische Personen des privaten Sektors b) Juristische Personen des öffentlichen Sektors 7. Anforderungen der Richtlinie an ein internes Hinweismangementsystem a) Wahrung der Vertraulichkeit b) Meldewege c) Bearbeitung der eingehenden Meldungen 8. Pflicht zur Einrichtung externer Meldekanäle 9. Vorschriften/Anforderungen an den Umgang mit internen und externen Meldungen 10. Schutzmaßnahmen a) Verbot von Repressalien b) Maßnahmen zum Schutz betroffener Personen c) Sanktionen bei Verstößen 11. Umsetzung in nationales Recht durch den deutschen Gesetzgeber III. Überblick über die mögliche Ausgestaltung von Hinweismanagementsystemen 1. Externes Whistleblowing 2. Internes Whistleblowing 3. Mögliche Begrenzungen (Hinweisgeber, Empfänger, Themen) IV. Aufbau/Einführung eines Hinweismanagementsystems 1. Allgemeine rechtliche Anforderungen a) Rechtslage in Deutschland b) Vorgaben auf europäischer Ebene c) Regelungen in den USA und Großbritannien aa) USA bb) Großbritannien 2. Datenschutzrechtliche Regelungen 3. Entscheidungen hinsichtlich der konkreten Ausgestaltung a) Organisation b) Ausgestaltungsmöglichkeiten aa) Kreis der Hinweisgeber bb) Eingangskanäle cc) Arten der meldbaren Verstöße dd) Regelungen zur Einführung eines Hinweismanagementsystems 4. Kommunikation V. Die praktische Arbeit mit einem Whistleblowing-System 1. Schutz des Hinweisgebers vor Nachteilen 2. Schutz des Betroffenen 3. Datenschutzkonformer Umgang mit eingegangenen Hinweisen VI. Fazit 6. Kapitel Kommunikationsmanagement und Schulungen I. Einleitung II. Grundzüge zur Kommunikation in der Unternehmenspraxis 1. Relevanz der Kommunikation im Unternehmen und bei Compliance 2. Kommunikationsmodelle a) Modell zu Konfliktarten als Grundlage für die Kommunikation b) Praxisrelevantes Beispiel III. Ausgewählte Instrumente der Compliance-Kommunikation 1. Tone-From-The-Top 2. Persönlicher Kontakt mit dem Compliance Officer 3. Zusammenarbeit des Compliance Officers mit Schlüsselfunktionen im Unternehmen 4. Schriftliche Informationen an die Mitarbeiter 5. Compliance im firmeneigenen Intranet IV. Schulungen 1. Persönliche Schulungen durch die Compliance-Funktion 2. Schulungen mit klassischem E-Learning 3. Digitale Schulungen: Schulungen mit Webinaren, Podcasts, Livestreams oder vertonten Präsentationen 4. Unterstützung dezentraler Compliance-Funktionen: das Schulungshandbuch V. Die „Top 5 Stolpersteine“ in der Compliance- Kommunikation und Lösungsvorschläge 1. Fehlende, verspätete oder missverständliche Information a) Problemstellung b) Lösungsvorschlag 2. Mangelnde Authentizität („Nicht gelebte Hochglanzaussagen“) a) Problemstellung b) Lösungsvorschlag 3. Fehler im Kommunikationsmanagement: Budget- und Ressourcenmangel a) Problemstellung aa) Unzureichende Übersetzung eines Code of Conduct (CoC) bb) Unzureichendes Schulungsbudget b) Lösungsvorschlag 4. Probleme mit der Technik a) Problemstellung b) Lösungsvorschlag 5. Fehler im Kommunikationsmanagement von Compliance aufgrund von Kulturunterschieden a) Problemstellung b) Lösungsvorschlag VI. Fazit zur Compliance-Kommunikation 7. Kapitel Auswirkungen des ISO-Standards 19600 auf die Prüfung von Compliance-Management-Systemen nach IDW PS 980 I. Einleitung II. Zielsetzung und Zielgruppe 1. Ausgangslage 2. Zielsetzung des IDW PS 980 3. Zielsetzung des ISO 19600:2014 4. Vergleich 5. Ausblick auf ISO 37301 III. Unterschiedliche Regelungstiefe zur Ausgestaltung des CMS 1. CMS-bezogene Regelungsinhalte des IDW PS 980 2. Regelungsinhalte des ISO 19600:2014 IV. ISO 19600 als geeignetes, angemessenes Rahmenkonzept für ein CMS 1. Anforderungen des IDW PS 980 an ein Rahmenkonzept 2. Vergleich ISO 19600 Guidelines mit IDW PS 980-Grundelementen V. Zwischenergebnis VI. Argumente für eine Ausrichtung des CMS nach ISO 19600 1. Basis für Ermessensentscheidung und Compliance-Richtlinie 2. Beurteilung der angemessenen Einrichtung eines wirksamen CMS VII. Zusammenfassung 8. Kapitel Management interner Untersuchungen I. Einleitung II. Entscheidung über die Durchführung interner Untersuchungen 1. Entscheidungsbefugte Stellen 2. Pflicht zur Aufklärung konkreter Verdachtsfälle 3. Interne Untersuchung oder externe Ermittlung? a) Bereits laufendes behördliches Verfahren b) (Noch) kein behördliches Verfahren III. Vornahme von Eilmaßnahmen 1. Einrichtung einer zentralen Koordinierungsstelle 2. Maßnahmen der Daten- und Beweissicherung 3. Arbeitsrechtliche Maßnahmen 4. Beachtung von Informations- und Berichtspflichten IV. Planung der internen Untersuchung 1. Grundlagen der Planung a) Beachtung von Recht- und Verhältnismäßigkeit b) Beachtung von Risiken und Folgen der internen Untersuchung 2. Festlegung des Untersuchungsgegenstands 3. Bestimmung des Untersuchungsteams und der Verantwortlichkeiten a) Auswahl von Mitarbeitern und externen Beratern b) Festlegung von Verantwortlichkeiten und Berichtswegen 4. Bestimmung und Vorbereitung der Informationsquellen a) Relevante Informationsquellen aa) Dokumente bb) Elektronische Daten und E-Mails cc) (Ehemalige) Mitarbeiter b) Notwendige Abstimmung der geplanten Untersuchungsmaßnahmen aa) Beteiligung von Betriebsrat oder Sprecherausschuss bb) Abstimmung mit Ermittlungs- und Aufsichtsbehörden c) Einrichtung eines Datenraums oder eines „Projektportals“ 5. Sicherung der Vertraulichkeit a) Zugriffsmöglichkeiten Dritter aa) Beschlagnahme durch Ermittlungsbehörden bb) Herausgabe von Unterlagen an Versicherer b) Begrenzung der E-Mail- und sonstigen schriftlichen Kommunikation c) Kennzeichnung und Aufbewahrung geschützter Kommunikation 6. Erstellen eines Untersuchungsplans V. Durchführung der internen Untersuchung 1. Allgemeine Untersuchungsgrundsätze 2. Dokumentation der Untersuchung 3. Erhebung und Auswertung von Dokumenten 4. Erhebung und Auswertung von elektronischen Daten 5. Befragung von Mitarbeitern 6. Auswertung und Aufarbeitung der Untersuchungsergebnisse VI. Fazit
4 Teil 2 Übergreifende Themen und Herausforderungen 9. Kapitel Risiko- und Chancenmanagement – Erfolgsfaktoren für eine wirksame Umsetzung I. Corporate Governance und das Management von Chancen und Risiken II. Abgrenzung des Risiko- und Chancenbegriffs III. Nutzen eines wirksamen Chancen- und Risikomanagements IV. Unterscheidung von Ursachen – Risiken – Wirkungen V. Verknüpfung von Risikomanagement und Strategie VI. Der Risikomanagement-Prozess als Regelkreis VII. Methoden zur Risikoidentifikation und -bewertung VIII. Aggregation von Risiken IX. Maßnahmen zur Risikosteuerung X. Unterschiedliche Reifegrade im Risikomanagement XI. Fazit und Ausblick 10. Kapitel Governance, Risk und Compliance im Mittelstand – Zusammenhänge und Abhängigkeiten I. Einleitung – Die Notwendigkeit der Einrichtung von Instrumenten zur Überwachung von Unternehmen II. Das System der Unternehmensüberwachung 1. Überblick über das Gesamtsystem 2. Externe Komponenten der Unternehmensüberwachung 3. Interne Komponenten der Unternehmensüberwachung III. Die Verknüpfung der einzelnen Elemente der Unternehmensüberwachung 1. Der GRC-Ansatz 2. Das interne Kontrollsystem und die anderen Elemente der Überwachung des Unternehmens 3. Compliance- und Risikomanagement 4. Risikomanagement und Controlling 5. Interne Revision, Compliance und Risikomanagement 6. Fazit IV. Grundkonzept für die Ausgestaltung eines integrierten Systems der Überwachung für mittelständisch geprägte Unternehmen 1. Bestimmung der Zielgruppe der Unternehmen 2. Zielstellung für die Einführung eines integrierten Systems der Überwachung 3. Vorgehensweise a) Risikoanalyse b) Analyse bestehender Strukturen c) Ermittlung des Anpassungsbedarfs d) Umsetzung 4. Fazit 11. Kapitel Datenschutz im Compliance Management I. Einleitung II. Der konzeptionelle Schutz personenbezogener Daten 1. Gesetzliche Grundlagen a) Datenschutzgrundverordnung b) Bundesdatenschutzgesetze c) Landesdatenschutzgesetz d) Europäische Richtlinien e) Weitere Gesetze mit datenschutzrechtlichen Vorgaben 2. Zentrale Grundsätze a) Verbot mit Erlaubnisvorbehalt b) Prinzip der Verhältnismäßigkeit c) Datensparsamkeit d) Transparenz e) Zweckbindung 3. Grundbegriffe a) Personenbezogene Daten b) Verantwortliche Stelle c) Umgang mit personenbezogenen Daten aa) Erheben bb) Speichern cc) Verändern dd) Übermitteln d) Auftragsverarbeitung III. Betrieblicher Datenschutz 1. Pragmatischer Ansatz: Wo fange ich an? 2. Beratungspraxis a) Der betriebliche Datenschutzbeauftragte b) Prozess der Datenschutzberatung c) Praxisrelevante Beispiele 3. Implementierung 4. Zusammenarbeit mit Behörden IV. Instrumente der datenschutzrechtlichen Compliance 1. Tone-from-the-Top 2. Interne Richtlinien a) Datenschutzrichtlinie b) IT-Nutzungsrichtlinie c) E-Mail-Policy d) Social-Media und Messaging-Dienste e) IT-Datenschutzmanagement-Richtlinie (Datenschutzmanagementkonzept) f) Archivierungs- und Löschungsrichtlinie 3. Verzeichnis von Verarbeitungstätigkeiten 4. Interne Kommunikation und Awareness a) Der Datenschutz-Newsletter b) Intranet c) Der „Datenschutz-Tag“ und Fachtagungen 5. Schulungen a) Persönliche Schulungen b) E-Learning/Webinars c) Unterstützung dezentraler Compliance-Funktionen V. Effektive Datenschutzüberwachung 1. Audits und Maßnahmenpläne/Quick Self-Assessment 2. IT-Infrastruktur-Reviews und Koordinierung mit IT Security 3. Incident- und Regel-Reporting aus den Betrieben 4. Der Datenschutzjahresbericht 5. Bericht an Aufsichtsrat/Compliance-Bericht/Audit Committee 6. Zusammenarbeit mit dem Compliance Officer, IT-Security und Revision VI. Beschäftigtendatenschutz 1. Bedeutung des Beschäftigtendatenschutzes für Compliance 2. Rechtsgrundlagen für den Umgang mit Mitarbeiterdaten a) Kollektivvereinbarungen zur Nutzung von Mitarbeiterdaten b) Rechtfertigende Einwilligung des Mitarbeiters c) Arbeitsvertragliche Regelungsmöglichkeiten d) Gesetzliche Erlaubnistatbestände e) Internationaler Datenverkehr mit Beschäftigtendaten 3. Risiken beim Umgang mit Beschäftigtendaten a) Phase 1: Begründung des Arbeitsverhältnisses/„Boarding-Phase“ b) Phase 2: Durchführung des Arbeitsverhältnisses/„On Board-Phase“ c) Phase 3: Beendigung des Arbeitsverhältnisses/„Off Boarding-Phase“ 4. Zusammenarbeit mit dem Betriebsrat 5. Personalleiter und Betriebsrat als Teil des Datenschutz- und Compliance-Teams 6. Hinweise, Muster und Beispielsfall a) Hinweise zur Regelung der Nutzung von Beschäftigtendaten b) Hinweise zur Regelung der Nutzung von Internet und E-Mail c) Beispielsfall zur Kontrolle bei Verdacht gegen Mitarbeiter d) Beispielsfall zum Auskunftsrecht eines Mitarbeiters bei Untersuchungen von Compliance-Verstößen VII. Fazit 12. Kapitel IT-Compliance – Software-Lizenzmanagement, IT-Sicherheit und Blockchain I. Rechtliche Herausforderungen der fortschreitenden Digitalisierung und Vernetzung II. Software-Lizenzmanagement 1. Rechtliche Grundlagen der Nutzung von Computerprogrammen 2. Besondere Arten von Software, insbesondere Open-Source-Software 3. Software-Lizenzmanagement im Rahmen verantwortungsbewusster Unternehmensführung 4. Rechtsfolgen einer Unterlizenzierung III. Software-Lizenzmanagement im Rahmen von Cloud- Diensten 1. Nutzungshandlungen beim Cloud Computing a) Recht der öffentlichen Zugänglichmachung der Software b) Recht zur Vervielfältigung der Software 2. Lizenzmanagement im Zusammenhang mit Cloud Computing-Diensten IV. Rechtsrahmen von Softwarelizenz-Audits 1. Rechtliche Grundlagen für einen Softwarelizenz-Audit 2. Vertragliche Ausgestaltung eines Softwarelizenz-Audits V. IT-Sicherheit 1. Das IT-Sicherheitsgesetz 2. Die Vorgaben der EU-Datenschutz-Grundverordnung 3. Adressaten der Pflichten zur IT-Sicherheit VI. Blockchain und Smart Contracts 1. Was ist die „Blockkette“? 2. Rechtliche Herausforderungen und Compliance-Themen VII. Implementierung eines IT-Compliance-Systems 1. Risikoanalyse und Grundlagen eines Lizenzmanagement-Systems 2. Richtlinie zur IT-Sicherheit 3. Der IT-Sicherheitsbeauftragte 13. Kapitel Cybersecurity, IT-Sicherheit und Krisenmanagement I. Analyse 1. Ziele der IT-Sicherheit 2. Cybercrime im Wandel5 a) Ideelle Hintergründe b) Materielle Hintergründe 3. Entwicklungen bei Schutzmaßnahmen II. Vorbeugende Maßnahmen 1. Adressaten a) KRITIS-Betreiber b) Anbieter von Telemediendiensten c) Anbieter von Telekommunikationsdiensten d) Bank- und Finanzwesen e) Energiewirtschaft f) Geschäftsführung von Aktiengesellschaften und GmbHs 2. Inhalt der gesetzlichen Verpflichtungen a) BSIG aa) Pflichten der KRITIS-Betreiber bb) Befugnisse des BSI b) DSGVO c) BDSG d) TMG und TKG aa) TMG bb) TKG cc) Verhältnis zur DSGVO e) KWG, ZAG, MaRisk und MaSI aa) MaRisk (Mindestanforderungen an das Risikomanagement) bb) ZAG und MaSI135 cc) § 27 Abs. 1 ZAG dd) Konkurrenz zum BSIG f) EnWG g) NIS-Richtlinie h) §§ 76, 91, 93 AktG aa) Ausgestaltung des IT-Risikomanagementsystems bb) Anforderungen nach DSGVO cc) Verantwortungsverteilung innerhalb der Geschäftsleitung dd) Dokumentationspflicht 3. Unternehmensinterne Vorkehrungen a) Interne Vorgaben b) Aktuelle technisch-organisatorische Schutzmaßnahmen III. Der Krisenfall 1. Hacker-Angriffe erkennen 2. Rechtliche Konsequenzen und Handlungsoptionen a) Melde- und Informationspflichten aa) DSGVO bb) BDSG cc) BSIG dd) Meldepflichten für Energiewirtschaftsunternehmen ee) ZAG ff) Meldepflichten für Energiewirtschaftsunternehmen gg) TMG hh) TKG ff) Sonstige Informationspflichten b) Werkzeuge zur Abwehr von Cyberangriffen 3. Interne und externe Kommunikation 4. Mittel- und längerfristige Maßnahmen IV. Ausblick 14. Kapitel Corporate Social Responsibility und Corporate Compliance – Die gesellschaftliche und juristische Verantwortung von Unternehmen I. Einführung 1. „Shareholder Value“ und „Stakeholder Value“ – eine „Mission Impossible“? 2. CSR und Unternehmensführung – Auswirkungen auf die Unternehmen? 3. CSR und Unternehmensführung – Auswirkungen auf die Compliance? II. Grundlagen 1. Corporate Social Responsibility a) Bedeutungswandel des Begriffsverständnisses b) Konzeptionen und Modelle c) Definitionen 2. Corporate Governance a) Begriffsverständnis b) Corporate Governance und Corporate Social Responsibility c) Gesellschaftsrecht und Deutscher Corporate Governance Kodex 3. Corporate Compliance a) Begriffsverständnis b) Corporate Compliance und Corporate Governance c) Corporate Compliance als Organisationspflicht d) Implikationen durch ein „Verbandssanktionengesetz“ III. Corporate Social Responsibility und Regulierung 1. Einführung in die CSR-Regulierung a) Regulierungsebenen b) Regulierungsansätze c) Rechtsqualität d) Reputationsmanagement 2. Beispiele für CSR-Regulierung a) Globale Regulierungsebene aa) OECD-Leitlinien für mulitnationale Unternehmen bb) GRI-Berichtsstandards cc) UN Global Compact dd) ISO 26000 b) Internationale Regulierungsebene c) Supranationale bzw. europäische Regulierungsebene d) Nationale bzw. deutsche Regulierungsebene 3. CSR-Normenflut als Herausforderung für Unternehmen IV. Corporate Social Responsibility und Corporate Compliance 1. Einführung 2. Allgemeine Relevanz von CSR-Normen für die Corporate Compliance 3. Konkrete Relevanz von CSR-Normen sowie sonstiger CSR-Themen für die Corporate Compliance a) CSR-Normen und CSR-Themen im Compliance-Risikomanagementprozess aa) Schritt 1: Definition der CSR-Compliance-Risiken bb) Schritt 2: Identifikation der CSR-Compliance-Risiken cc) Schritt 3: Analyse und Bewertung der CSR-Compliance-Risiken dd) Schritt 4: Berichterstattung der CSR-Compliance-Risiken ee) Schritt 5: Steuerung der CSR-Compliance-Risiken ff) Schritt 6: CSR-Compliance-Risikomonitoring b) Verknüpfung von CSR- und Compliance-Risiken V. Zusammenfassung 15. Kapitel CSR-Compliance: Herausforderungen des CSR-Reportings I. Einleitung: Corporate Social Responsibility, Corporate Governance und die (mögliche) Rolle von Compliance 1. Zielsetzungen der CSR-Richtlinie und des CSR-Richtlinie-Umsetzungsgesetzes 2. Neuausrichtung des Nachhaltigkeitsreportings a) Bereits vor dem CSR-RUG vorhandene, nichtfinanzielle b) Sog. „Soft Law-Ansätze“ als Rahmenwerke für das CSR-Reporting c) Paradigmenwechsel 3. Adressaten der CSR-Berichtspflichten a) Der Adressatenkreis im Rahmen der nichtfinanziellen Erklärung b) Die Verpflichteten der Vorgaben zum Diversitätskonzept 4. Berichtsanforderungen im Rahmen des CSR-Reportings a) Berichtsvarianten: Die nichtfinanzielle Erklärung und der gesonderte b) Inhalte, Relevanzmaßstab und Methodik des CSR-Reportings c) Muster: Struktur und Ansätze zur Gestaltung des CSR-Reportings d) Die Möglichkeit der Verwendung von Rahmenwerken 5. Ein Spezifikum: Das Diversitätskonzept 6. Nichtangaben, unrichtige Angaben und ihre Folgen a) Der „Comply or Explain“-Grundsatz b) Ein Sonderfall: Das (vorübergehende) Weglassen nachteiliger Angaben c) Prüfungen d) Verstöße, Säumnisse und Sanktionen II. Fazit und Ausblick 16. Kapitel Compliance im Kontext nachhaltigen Supply Chain-Managements I. Einleitung II. Nachhaltiges Lieferantenmanagement 1. Lieferantenbewertung 2. Lieferantenentwicklung 3. Lieferantenauswahl 4. Lieferantenmonitoring III. Unterschiede entlang der Supply Chain IV. Konfliktmineralien und Due Diligence – „beyond compliance“ V. Praxisrelevanz VI. Fazit 17. Kapitel Das Organisationsrisiko der „kriminogenen Verbandsattitüde“* I. Nützliche Rechtsverstöße zum Vorteil des Unternehmens und zum Nachteil des Mitarbeiters II. Die Theorie der kriminogenen Verbandsattitüde III. Empirische Untersuchungen zur kriminogenen Verbandsattitüde IV. Das Milgram-Experiment zur Gehorsamsbereitschaft gegenüber Autorität V. Konsequenzen für die Organisationspflicht der Organe VI. Die schon vorhandene kriminelle Attitüde im Unternehmen und die Legalitätspflicht zu ihrer Abwehr VII. Die präventive Legalitätspflicht durch Vorstände und Geschäftsführer vor dem Rechtsverstoß VIII. Die unternehmensexterne Aufklärung IX. Die unternehmensinterne Aufklärung X. Die Strafbarkeit von Managern als „Täter hinter dem Täter“ durch Organisationsherrschaft XI. Zwischenergebnis XII. Kriminelles Mitarbeiterverhalten zum Vorteil des Unternehmens als vorhersehbares Organisationsrisiko XIII. Die Rechtsgutsferne als Ursache kriminogener Wirkung XIV. Die existenzielle Abhängigkeit vom Unternehmen als Ursache kriminogener Wirkungen XV. Der altruistische selbstlose Straftäter als kriminogene Ursache XVI. Die diffuse Verantwortungslosigkeit durch Arbeitsteilung als kriminogene Ursache und die Vermeidung durch die Delegation von Rechtspflichten XVII. Blockierte Informationen als Ursache kriminogener Verbandsattitüden XVIII. Die Auskunftspflicht mit Verwertungsverbot als Konfliktlösung XIX. Fazit
5 Teil 3 Besondere Aufgaben und Anwendungsfelder 18. Kapitel Compliance in M&A-Transaktionen I. Einleitung II. Prozessuale M&A-Compliance – Einhaltung von Rechtsvorschriften im M&A-Verfahren 1. Strukturierung der Transaktion a) Auktions- und Einzelbieterverfahren b) Transaktionsgegenstand 2. Offenlegung von Informationen a) Offenlegungs- und Aufklärungspflichten des Veräußerers b) Rechtliche Grenzen der Offenlegung von Informationen aa) Gesellschaftsrechtliche Zulässigkeit der Offenlegung von Informationen gegenüber Dritten bb) Vertraulichkeitsbestimmungen in Verträgen mit Dritten cc) Datenschutzrechtliche Anforderungen für die Offenlegung von personenbezogenen Daten 3. Kartellrechtliche M&A-Compliance – Vollzugsverbot und Informationsaustausch a) Anmeldepflicht und Vollzugsverbot b) Informationsaustausch 4. Kapitalmarktrechtliche M&A-Compliance a) Informationsweitergabe im Rahmen der Due Diligence b) Ad-hoc-Pflicht c) Übernahmerechtliche M&A-Compliance 5. Pflicht zur Durchführung einer rechtlichen Due Diligence a) Regelfall b) Besonders gelagerte Fälle c) Nachgelagerte Due Diligence (Post-Closing Due Diligence) 6. (Abbruch der) Vertragsverhandlungen 7. Zustimmungserfordernisse a) Zustimmung von Aufsichtsgremien und/oder der Gesellschafter b) Zustimmung von Ehegatten oder Lebenspartnern 8. Vereinbarung von Wettbewerbsverboten im Unternehmenskaufvertrag III. Materielle M&A-Compliance – Prüfung von/Umgang mit Compliance in der Zielgesellschaft 1. Due Diligence a) Erfordernis einer Compliance-Due Diligence aa) Einführung unter besonderer Beachtung von ESG/CSR bb) Erfordernis der Durchführung einer Compliance-Due Diligence cc) (Eigen-)Interesse der Geschäftsleitung (Business Judgement Rule) dd) Normative Kraft des Faktischen b) Vorgehensweise: Abgestufte, risikobasierte Compliance-Due Diligence aa) Rechtlicher Rahmen bb) Ermittlung des Risikoprofils der Zielgesellschaft cc) Risikobewertung und Dokumentation dd) Eigentliche Due Diligence c) Due Diligence nach Vollzug 2. Umgang mit bekannten/bekanntgewordenen Compliance-Verstößen/-Risiken a) Risikobewertung b) Umgang mit bekannten/entdeckten Compliance-Risiken IV. Zusammenfassung 19. Kapitel Die Compliance-Funktion in einem Kreditinstitut I. Einführung: Was ist die Bedeutung des Begriffs Compliance?* II. Welche Compliance-Funktionen gibt es in einem Kreditinstitut? 1. Kapitalmarkt-Compliance 2. Zentrale Stelle/sonstige strafbare Handlungen 3. MaRisk-Compliance 4. Hinweisgebersystem (Whistleblowing) 5. Datenschutz 5. Auslagerung der Compliance-Funktion oder von einzelnen Compliance-Tätigkeiten III. Inhalt und Aufgabe einer modernen Compliance-Funktion IV. Das Compliance-Management-System (CMS) V. Schnittstellen zu anderen Funktionen 1. Fach- und Marktbereiche 2. Rechtsabteilung 3. Risikocontrolling-Funktion 4. Interne Revision VI. Compliance als Teil des IKS eines Kreditinstituts VII. Übertragung der Struktur/des Ansatzes auf andere Industriesäulen – und umgekehrt VIII. Fazit/Ausblick 20. Kapitel Der Geldwäschebeauftragte – Stellung und Aufgaben I. Der Geldwäschebeauftragte 1. Warum eigentlich ein Geldwäschebeauftragter? – Geschichte einer besonderen Funktion 2. Verpflichtete Unternehmen a) Qua Gesetz b) Freistellungsmöglichkeit (§ 7 Abs. 2 GwG) c) Anordnung der Behörden 3. Anforderungen an den Geldwäschebeauftragten und Bestellung 4. Kompetenzen und Stellung im Unternehmen 5. Aufgaben des Geldwäschebeauftragten a) Risikoanalyse b) Sicherungsmaßnahmen c) Antizipation und Implementierung neuer rechtlicher und verwaltungspraktischer Vorschriften d) Kontinuierliche Überwachung von Geschäftsbeziehungen/„Monitoring“ e) Verdachtsfälle und Verdachtsmeldewesen/Unstimmigkeitsmeldungen f) Berichtswesen, Bericht an Geschäftsleitung und Aufsichtsorgan g) Mitarbeiterschulungen 6. Arbeitsrechtlicher Schutz des Geldwäschebeauftragten und Teilausnahme vom Direktionsrecht des Arbeitgebers a) Sonderkündigungsschutz b) Benachteiligungsverbot c) Ausnahme vom Direktionsrecht 7. Auslagerung der Funktion 8. Haftung 9. Der Geldwäschebeauftragte – gefangen zwischen hoheitlicher und unternehmerischer Tätigkeit? 21. Kapitel Geldwäsche-Compliance in Industrie und Handel I. Einführung in die Geldwäscheprävention 1. Begriff und Methoden der Geldwäsche 2. Die Geldwäschebekämpfung a) Geldwäschebekämpfung auf internationaler Ebene: FATF b) Geldwäschebekämpfung in der deutschen Gesetzgebung 3. Geldwäscherisiken für Industrie- und Handelsunternehmen II. Industrie- und Handelsunternehmen im GwG: Der Begriff des Güterhändlers III. Die Pflichten der Güterhändler im GwG 1. Die privilegierte Verpflichtetenstellung von Güterhändlern a) Praktische Umsetzung des Bargeldausschlusses b) Konsequenzen bei Einführung einer Bargeldbeschränkung 2. Risikomanagement a) Risikoanalyse b) Interne Sicherungsmaßnahmen aa) Richtlinie zur Prävention von Geldwäsche bb) Überprüfung von Geschäftspartnern cc) Überwachung von Zahlungseingängen c) Gruppenweite Pflichten 3. Kundensorgfaltspflichten a) Auslösetatbestände der Sorgfaltspflichten für Güterhändler b) Ausgewählte Aspekte der allgemeinen Sorgfaltspflichten c) Ausgewählte Aspekte der vereinfachten und verstärkten Sorgfaltspflichten 4. Pflicht zur Abgabe von Verdachtsmeldungen a) Verdachtsfall und typische Verdachtsmomente b) Folgen einer Verdachtsmeldung aa) Strafbefreiende Wirkung bb) Transaktionssperrfrist § 46 GwG cc) Verbot der Informationsweitergabe (Tipping Off-Verbot) IV. Fazit 22. Kapitel Produktbezogenes Compliance- und Risikomanagement im Treasury1 I. Einleitung II. Finanz- und Kapitalmarktprodukte; Risiken 1. „Einfache“ Produkte 2. „Komplexe“ Produkte a) Überblick b) Risiken im Einzelnen III. Rechtliche Anforderungen an das Risikomanagement- und Compliance-System 1. Anforderungen an Finanzinstitute a) Aufsichtsrechtliche Anforderungen b) „Best Practice“ und praktische Ausgestaltung aa) Risikomanagement bb) Compliance 2. Anforderungen an Unternehmen a) Normativer Rahmen und Übertragbarkeit b) Grenzen IV. Ausgestaltung des Risikomanagement- und Compliance-Systems im Unternehmensbereich 1. Finanzproduktbezogenes Risikomanagement und Compliance – Überblick 2. Die Ausgestaltung der wichtigsten ICRM-Komponenten im Einzelnen a) Rechtliche Einzelfallprüfung: Covenant-Tool b) Kreditrisiko-Tool c) Marktrisiko-Tool d) Liquiditätsrisiko-Tool 3. Delegation des Risikomanagements und Compliance V. Haftungsfragen 1. Verstoß gegen die Pflicht zum Risikomanagement 2. Verstoß gegen die Pflicht zur Compliance VI. Fazit 23. Kapitel Kartellrechts-Compliance I. Überblick über die Kartellrechts-Risiken1 1. Einführung 2. Kartellrechts-Risikokategorien a) Das Verbot wettbewerbsbeschränkender Vereinbarungen: Absprachen mit anderen Unternehmen aa) Vereinbarung, abgestimmtes Verhalten oder Beschluss bb) Bezweckte oder bewirkte Wettbewerbsbeschränkung cc) Sehr hohe Risiken dd) Weniger hohe Risiken b) Machtmissbrauch (einseitige Handlungen) aa) Allgemeine Voraussetzungen bb) Sehr hohe Risiken cc) Weniger hohe Risiken 3. Haftungssubjekte (Wer haftet für wen?) a) Unternehmenshaftung b) Persönliche Haftung c) Haftung im Konzern („Wirtschaftliche Einheit“) d) Haftung bei Gemeinschaftsunternehmen e) Haftung für Beauftragte f) Haftung bei Rechtsnachfolge 4. Art und Umfang der Haftung a) Strafrechtliche Sanktionen b) Bußgelder aa) EU-Recht bb) Deutsches Recht c) Schadensersatz aa) Individualansprüche bb) Kollektiver Rechtsschutz cc) Schadensausgleich im Innenverhältnis d) Sonstige Nachteile II. Management der Kartellrechtsrisiken in der Praxis 1. Risikoanalyse: Identifizierung und Bewertung a) Kartellrechtliches Risikoprofil b) Geschäftstätigkeit und Geschäftsbeziehungen c) Risikokategorisierung und Risikobewertung d) Einführung eines Top-down-Ansatzes 2. Präventive Maßnahmen a) Richt- und Leitlinien zum Kartellrecht b) Schulungen (Präsenzschulungen und Webinars/E-Learning) 3. Maßnahmen zur Kontrolle/Aufdeckung III. Behördliche Untersuchungen 1. Durchsuchungen der EU-Kommission a) Zuständigkeit b) Befugnisse c) Elektronische Durchsuchung d) Typischer Ablauf 2. Durchsuchungen des Bundeskartellamts a) Zuständigkeit b) Befugnisse c) Elektronische Durchsuchung d) Typischer Ablauf 3. Verhaltensregeln für die Unternehmen a) Vor der Durchsuchung b) Während der Durchsuchung c) Nach der Durchsuchung 24. Kapitel Compliance-Anforderungen im Wettbewerb um öffentliche Aufträge I. Einleitung II. Anforderungen an Unternehmen in Vergabeverfahren III. Ausschlussgründe 1. Zwingende Ausschlussgründe a) Straftatbestände b) Steuer- und Abgabentatbestände 2. Fakultative Ausschlussgründe a) Verstoß gegen umwelt-, sozial- oder arbeitsrechtliche Verpflichtungen b) Insolvenz und Liquidation c) Schwere Verfehlung im Rahmen beruflicher Tätigkeit d) Wettbewerbsbeschränkende Vereinbarungen oder abgestimmte Verhaltensweisen e) Interessenkonflikt f) Vorbefassung g) Mangelhafte Leistung bei Ausführung früherer Aufträge h) Schwerwiegende Täuschung bei Eignungsprüfung i) Unzulässige Einflussnahme IV. Wettbewerbsregister 1. Einrichtung des Wettbewerbsregisters 2. Eintragung von Rechtsverstößen 3. Einbindung in das Vergabeverfahren 4. Löschung von Eintragungen 5. Rechtsbehelfe V. Selbstreinigung 1. Selbstreinigung im Vergabeverfahren a) Prüfung durch Vergabestelle b) Prüfung durch Wettbewerbsregister 2. Kriterien der Selbstreinigung a) Ausgleich des Schadens b) Zusammenarbeit zur Aufklärung c) Technische, organisatorische und personelle Maßnahmen VI. Ausschlussfristen 1. Fristenregelung bei zwingenden Ausschlussgründen 2. Fristenregelung bei fakultativen Ausschlussgründen 3. Ermessensausübung 25. Kapitel Tax Compliance I. Einleitung II. Steuerliche Pflichten 1. Allgemeine steuerliche Pflichten 2. Spezifische materiell-rechtliche Problemschwerpunkte a) Lohnsteuer und Sozialabgaben b) Umsatzsteuer c) Verdeckte Gewinnausschüttungen d) Anzeigepflicht nach § 153 AO e) Tochtergesellschaften und Betriebstätten im Ausland f) Internationale Verrechnungspreise g) Versagung des Betriebsausgabenabzugs nach § 160 AO h) Betriebsausgabenabzugsverbot nach § 4 Abs. 5 Satz 1 Nr. 10 EStG III. Risiken mangelnder Tax Compliance 1. Steuerliche Haftungsrisiken 2. Steuerstrafrechtliche und steuerordnungswidrigkeitenrechtliche Risiken a) Sanktionen gegen Organe und Mitarbeiter aa) Steuerhinterziehung und leichtfertige Steuerverkürzung (§§ 370, 378 AO) bb) Verletzung der Aufsichtspflicht (§ 130 OWiG) b) Sanktionen gegen das Unternehmen aa) Verbandsgeldbuße (§ 30 OWiG) bb) Einziehung (§ 29a OWiG) IV. Tax Compliance-System 1. Risikoanalyse 2. Ausgestaltung eines Tax Compliance-Systems a) Zuständigkeit für Tax Compliance b) Zuständigkeit und Verantwortlichkeit bzgl. der steuerlichen Pflichten c) Berichtswege/Berichtspflichten d) Prozessbeschreibung Deklarationswesen e) Kontroll- und Überwachungsmaßnahmen f) Umgang mit Betriebsprüfungen g) Schulungen h) Dokumentation V. Zertifizierung des Tax Compliance-Systems durch Dritte VI. Berichtigung von Steuererklärungen 1. Korrekturvorschrift 2. Selbstanzeige im Unternehmen (§§ 371, 378 Abs. 3 AO) a) Person des Anzeigeerstatters b) Positive Wirksamkeitsvoraussetzungen des § 371 AO c) Negative Wirksamkeitsvoraussetzungen des § 371 AO (Sperrgründe) d) Absehen von Verfolgung nach § 398a AO e) Bußgeldbefreiende Selbstanzeige nach § 378 Abs. 3 AO VII. Verbandssanktionengesetz (VerSanG)105 1. Allgemeines 2. Wesentliche Inhalte a) Regelungsbereich/Adressaten und Opportunitätsprinzip b) Verschuldensunabhängige Zurechnung: Objektiv vorliegende Aufsichtspflichtverletzung ausreichend c) Sanktionen d) Sanktionsmilderung durch Kooperation und Compliance VIII. Fazit 26. Kapitel Exportkontrolle und Compliance I. Einleitung II. Rechtsgrundlagen der Exportkontrolle in Deutschland 1. Supranationale Vorgaben 2. Nationale Vorgaben 3. Relevanz ausländischen Exportkontrollrechts a) Allgemeines b) Insbesondere: US-Re-Exportkontrolle III. Exportkontrollrechtliche Genehmigungspflichten 1. Allgemeines 2. Genehmigungspflichten bei Ausfuhren in Länder außerhalb der EU a) Gelistete Güter b) Nicht gelistete Güter 3. Genehmigungspflichten bei Verbringungen a) Verbringungen bei Endverbleib in der EU b) Verbringungen mit anschließender Ausfuhr 4. Sonstige Genehmigungspflichten a) Handels- und Vermittlungsgeschäfte b) Technische Unterstützung IV. Exportkontrollrechtliches Genehmigungsverfahren 1. Zuständigkeit des BAFA 2. Ablauf des Genehmigungsverfahrens 3. Genehmigungstypen 4. Sanktionen bei exportkontrollrechtlichen Verstößen V. Exportkontrollrechtliche Compliance-Strukturen 1. Allgemeines 2. Der Ausfuhrverantwortliche 3. Modell eines innerbetrieblichen Exportkontrollsystems a) Überblick über die relevanten Strukturelemente b) Umsetzung im Einzelfall VI. Zusammenfassung und Ausblick
6 Literaturverzeichnis
7 Sachregister
