Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
FACHMAGAZIN FÜR COMPLIANCE-VERANTWORTLICHE
IN KO O P ER AT IO N M IT:
www.comply-online.de2. JAHRGANG
SEPTEMBER 2016SEITEN 1– 84
ISSN 2364-7604
03/2016
Security Compliance
W W W . C A - S E M I N A R E . D E
Haben Sie schon eine gut funktionierende Compliance-Strukturbei der alle Räder zuverlässig ineinander greifen?
Die Compliance Academy bietet Ihnen maßgeschneidertesExpertenwissen rund um Compliance an.
3comply. 3/2016 www.comply-online.de
Edit
oria
lEditorial
Sie werden sich sicherlich fragen, warum eine Fachzeitschrift für
Compliance-Verantwortliche, wie die comply. das Th ema Security Com-
pliance zum Schwerpunkt der Ausgabe macht. Es sind zwei wesentliche
auf unseren Beobachtungen gestützte Beweggründe, die uns dazu brach-
ten: Zum einen die Unternehmenssicherheit und zum anderen die Quali-
tät der Sicherheitsunternehmen selbst.
Selbst die besten Compliance-Lösungen werde nichts bringen, wenn das
Unternehmen einem Cyber-Angriff , einem Datenschutzklau, der Indus-
trie-Spionage oder anderer Risiken aus dem Bereich des Wirtschaft s-
schutzes unterliegen wird. Zumindest die in den Bereichen bestehenden
Risiken sind auch Compliance-Risiken und sollten und werden auch
bereits durch entsprechende Maßnahmen im Rahmen eines integrierten
CMS adressiert werden.
Da es sich hierbei um sehr spezielle Risiken handelt, werden sie oft an
externe Dienstleister aus der Sicherheitsbranche abgegeben, die sich in
den letzten Jahren aus einem reinen Bewachungsgewerbe zu wahren All-
roundern in Sachen Unternehmenssicherheit entwickelt haben. Doch mit
wachsenden Aufgaben wachsen auch die Anforderungen an die Quali-
tät der Sicherheitsunternehmen selbst. Der Anspruch ist klar: Möchten
die Unternehmen künft ig weiterhin outgesourcte Compliance-Aufga-
ben wahrnehmen, so müssen sie selbst in eigenen Reihen für Compli-
ance sorgen. Die neusten Entwicklungen rund um die Bewachung von
Flüchtlingsunterkünft en haben jedoch Mängel an den Tag gebracht, die
selbst den Gesetzgeber zur Handlung bewegt haben. Was wird sich für
die Sicherheitsbranche ändern?
Wir fassen diese Aspekte unter dem Stichwort „Security Compliance“
zusammen und ergänzen diese Ausgabe um weitere Aktualitäten zu
Compliance-Risiken und -Methoden.
Wir wünschen Ihnen eine ertragreiche Lektüre!
Prof. Dr. Bartosz Makowicz
Viadrina Compliance Center, Frankfurt (Oder)
Liebe Leserinnen, liebe Leser,
Prof. Dr.
Bartosz Makowicz
4 www.comply-online.de comply. 3/2016
Essentials> BasicsDip. Ing. Martin MantzOrganisationspfl ichten im Rahmen eines Compliance Management Systems 36
> SoftskillsTorsten KrumbachJobangebote im Bereich Compliance zielgerichtet prüfen 40
Alexander FreieslebenCompliance-Kommunikationin vier Schritten 44
> InnovationNoor NaqschbandiCompliance in der Lieferkette 52
Interview > VerbandManuela MackertCompliance „state of the art“ 48
Inhalt
Im Brennpunkt> Security ComplianceAlexander Matuk, LL.M.Strengere Regeln für das Bewachungsgewerbe 14
Dr. Berthold StoppelkampWirtschaftsschutz 18
Martin Stadelmaier Flughafensicherheitund Compliance 24
Isabel MünchInformationssicherheit im Unternehmen 28
Knut Schönfelderred team 32
Interview > VerbandGregor LehnertBringt neues Bewachungsrecht auch neue Qualität der Sicherheitsdienste? 12
> SicherheitswirtschaftManfred BuhlVon Corporate Security bis zu „security by design“ 20
Branche> AußenwirtschaftDr. Eckhardt MoltrechtExportkreditgarantien 56
Global> Polen Dr. iur. des. Bartosz Jagura, LL.M.Im Osten viel Neues 58
> Tschechische Republik Zlata KunesovaCompliance Made in Czech Republic 61
Brennpunkt
I N KOOPERAT I ON M I T:
5comply. 3/2016 www.comply-online.de 55
comply. Fachmagazin für Compliance-Verantwortliche
Schriftleitung und RedaktionProf. Dr. Bartosz Makowicz
BeiratHolger Beutel, Dr. Günter Birnbaum, Michael Falk, Prof. Dr. Peter Fissenewert, Michael Kayser, Prof. Dr. Thomas Knobloch, Michael Loer,Prof. Dr. Thomas Rotsch, Prof. Dr. Lena Rudkowski, Dr. Amr Sarhan, Prof. Dr. Stefan Siepelt, Martin Stadelmaier, Prof. Dr. Dr. h.c. mult. Rolf Stober, Prof. Dr. Hans-Michael Wolffgang, Prof. Dr. Sonja Wüstemann
Redaktion Bundesanzeiger Verlag GmbHRA Jörg SchickTelefon: 0221/9 76 68-186E-Mail: [email protected]
Angela ScholzTelefon: 0221/9 76 68-315 ∙ Telefax: 0221/9 76 68-271E-Mail: [email protected]
ManuskripteManuskripte sind unmittelbar an die Redaktion im Verlag zu senden. Auch für unverlangt eingesandte Manuskriptekann keine Haftung übernommen werden.Der Verlag behält sich das Recht zur redaktionellenBearbeitung der angenommenen Manuskripte vor.
ErscheinungsweiseVierteljährlich (März, Juni, September, Dezember)
BezugspreiseDer Jahresabopreis inklusive Online-Archiv beträgt 129,– €, Sonderpreis für Verbandsmitglieder und Behördenvertreter 98,– € (inkl. MwSt. und Versandkosten (Inland 0,75 € pro Ausgabe/Ausland 3,– € pro Ausgabe))
Bestellungen über den VerlagKündigungen sind nach Ablauf von 12 Monaten möglich. Sie müssen bis zum 15. des Vormonats beim Verlag eingegangen sein.Verlag: Bundesanzeiger Verlag GmbHPostfach 10 05 34, 50445 KölnGeschäftsführung: Dr. Matthias Schulenberg
Abo-ServiceWiebke SchmidtTelefon: 0221/9 76 68-291 ∙ Telefax: 0221/9 76 68-271E-Mail: [email protected]
Urheber- und VerlagsrechteAlle in dieser Zeitschrift veröffentlichten Beiträgesind urheberrechtlich geschützt. Jegliche Verwertungaußerhalb der engen Grenzen des Urheberrechtsgesetzesist ohne Zustimmung des Verlages unzulässigund strafbar. Mit der Annahme des Manuskriptes zurVeröffentlichung überträgt der Autor dem Verlag dasausschließliche Vervielfältigungsrecht bis zum Ablaufdes Urheberrechts. Das Nutzungsrecht umfasst auchdie Befugnis zur Einspeicherung in eine Datenbanksowie das Recht zur weiteren Vervielfältigung zugewerblichen Zwecken, insbesondere im Wegeelektronischer Verfahren einschließlich CD-ROM undOnline-Dienste.
HaftungsausschlussDie in dieser Zeitschrift veröffentlichten Beiträge wurden nach bestem Wissen und Gewissen geprüft. Eine Gewähr für die Richtigkeit und Vollständigkeit kann jedoch nicht übernommen werden. Eine Haftung für etwaige mittelbare oder unmittelbare Folgeschädenoder Ansprüche Dritter ist ebenfalls ausgeschlossen.Namentlich gekennzeichnete Beiträge geben nichtnotwendig die Meinung der Redaktion und der Organisationen, bei denen die Autoren beschäftigt sind, wieder.
AnzeigenleitungHans StenderBundesanzeiger Verlag GmbHAmsterdamer Str. 192, 50735 KölnTelefon: 0221/9 76 68-343 ∙ Telefax: 0221/9 76 68-288E-Mail: [email protected]
AnzeigenpreiseEs gilt die Anzeigenpreisliste Nr. 1 vom 1.1.2015
HerstellungGünter Fabritius, Telefon: 0221/9 76 68-182
Satz und Layout FRAU MINGE – graphic designTabea Minge ∙ E-Mail: [email protected]
Druck Appel & Klinger Druck und Medien GmbH
Impressum
Kritik> PsychologieBerthold KrügerRegeln einsetzen um Regeln zu brechen 64
ForumKai Fain und Maike Scholz
3. DICO FORUMCompliance 2016 68
Service Guide
Compliance-Verbände 74
CM-Software 76
Firmeneinträge 78
PRE MI UM-PARTNER :
Deutsches Ins�tut für Compliance
RubrikenEditorial 3
Inhalt 4-5
News 6-7
Termine 8
Rezension 72
6
News
www.comply-online.de comply. 3/2016
Finanzmarktnovellierungsgesetz − zentrale Meldestelle für Whistleblower
Bereits in der Vergangenheit ist die BaFin Insider-Informationen
auf den Grund gegangen, wenn diese schlüssig dargelegt und von
der BaFin als relevant eingestuft wurden. Das Finanzmarktnovel-
lierungsgesetz, welches im Mai 2016 vom Bundesrat verabschie-
det wurde, sieht nun eine zentrale Meldestelle vor, die außerdem
die Identität der Hinweisgeber – wenn erwünscht – „besonders“
schützen soll. Informationen können über verschiedenste Wege
die Anlaufstelle der BaFin erreichen: per Brief und E-Mail sowie
per Telefon. Das Gesetz sieht im Übrigen auch härtere Strafen für
Marktmanipulationen und Insiderhandel vor.
Praxistipp: Der zuverlässige Schutz von Whistleblowern stellt seit
jeher ein Problem dar. Unternehmensinterne Systeme konnten bei-
spielsweise aufgrund der Zuweisung von IP-Adressen oder einzel-
nen Compliance-Büros bisher keinen absoluten Schutz der Identität
von Hinweisgebern garantieren. Eine zentrale Anlaufstelle könnte
solch einen Schutz jedoch tatsächlich realisieren, schließlich ist hier
insbesondere etwa die sichere PGP-Verschlüsselung von E-Mails
möglich.
Quelle: www.spiegel.de/wirtschaft/whistleblower-bafi n-richtet-meldestelle-fuer-hinweisgeber-ein-a-1100926.html?utm_source=compliance-manager.net?utm_source=compliance-manager.net
News und Presse*
Finanzbranche als Vorreiter für Whistleblower-Schutz
Im Rahmen einer Pressemitteilung befürwortet der Berufsverband
der Compliance Manager (BCM) die jüngsten Entwicklungen
hinsichtlich der Aufsicht von Finanzdienstleistungen. Das neue
Finanzdienstleistungsaufsichtsgesetz schließt nunmehr die arbeits-
rechtliche sowie strafrechtliche Verfolgung von Mitarbeitern der
Finanzbranche aus, wenn diese als Whistleblower Gesetzesverstöße
melden. Außerdem werden u.a. Banken und Versicherungen dazu
verpfl ichtet, organisatorische Maßnahmen zu treff en, um das Hin-
weisgeben zu erleichtern und sicherer zu machen. Der BCM setzt
sich überdies für eine Ausweitung dieser Initiative auf andere Bran-
chen aus.
Praxistipp: Setzen auch Sie sich für die Ausweitung der Initiative
ein, um zukünft ig auch Whistleblowern anderer Branchen einen
angemessenen Schutz zu gewähren.
Quelle: www.bvdcm.de/presse/news (Pressemitteilung vom 1.7.2016; zuletzt abgerufen am 18.7.2016)
PDF http://www.bvdcm.de/sites/default/fi les/pm_whistleblowing_0.pdf
© S
henk
i – s
hots
hop.
com
© Im
ilian
– s
hots
hop.
com
© w
ww
.baf
in.d
e
* Die Nachrichten wurden zusammengestellt von Patrick Kikillus, Viadrina Compliance Center (www.compliance-academia.org)
7
News
comply. 3/2016 www.comply-online.de
ISO 37001 beschlossen
In unserer letzten Ausgabe informierten wir Sie darüber, dass
der Entwurf („Draft International Standard“) des Anti-Kor-
ruptions-Standards ISO 37001 bereits 91 % Zustimmung für sich
beanspruchen konnte. Nunmehr hat sich die zuständige ISO-
Gruppe im Juni 2016 getroff en und die fi nale Fassung, wie vermutet,
angenommen.
Die Norm ISO 37001 verfolgt einen risikobasierten Ansatz, wird
zertifi zierbar sein und noch im laufenden Kalenderjahr erscheinen.
Praxistipp: Die Zertifi zierbarkeit der Norm ISO 37001 durch
externe Wirtschaft sprüfer kann, neben dem Inhalt selbst, einen
großen (Wettbewerbs-)Vorteil für Unternehmen darstellen. Beden-
ken Sie jedoch immer, dass ein Zertifi kat keinen Selbstzweck ver-
folgt. Compliance muss gelebt und nicht bloß zertifi ziert werden.
Quelle: www.iso.org
Whistleblower erhält 17 Millionen Dollar
Ein ehemaliger Unternehmensmitarbeiter erhielt für einen detail-
lierten und für den Abschluss der Ermittlungen besonders wich-
tigen Hinweis rund 17 Millionen Dollar Belohnung von der SEC
(Securities and Exchange Commission). Es handelt sich somit um
den zweitgrößten Betrag, der seit Beginn des Whistleblower-Pro-
gramms an eine einzige Person ausgezahlt wurde. Die größte
Belohnung betrug 30 Millionen Dollar im September
2014. Fünf Whistleblower erhielten im letzten
Monat mehr als 26 Millionen Dollar, so der
Chef des SEC-Büros Sean X. McKessy. Diese
durchaus hohen Beträge sollen Hinweisgeber
dazu bewegen, sich mit ihrem Wissen an die
SEC zu richten.
Praxistipp: Belohnungen für Whistleblower können
einen entscheidenden Anreiz für ebendiese darstellen. Nicht
zuletzt, um eine mögliche Entlassung zu kompensieren.
Quelle: www.sec.gov/news/pressrelease/2016-114.html
BaFin zeigt gesamten VW-Vorstand an
Im Anschluss der Untersuchungen der BaFin im Rahmen des
VW-Skandals, hat diese nunmehr den gesamten Vorstand von
Volkswagen und nicht bloß zwei ehemalige Vorstandsmitglie-
der bei der Staatsanwaltschaft Braunschweig angezeigt. Somit
stehen also nicht mehr nur Martin Winterkorn und der Marken-
chef Herbert Diess, sondern auch der frühere Finanzvorstand
Hans Dieter Pötsch im Fokus der Staatsanwaltschaft . Auch gegen
andere Personen könne noch ermittelt werden, so ein Sprecher der
Staatsanwaltschaft .
Quelle: www.sueddeutsche.de/wirtschaft/abgasaffaere-bafi n-hat-gesamten-vw-vorstand-angezeigt-1.3044490
© D
RSG
98 –
sho
tsho
p.co
m
© W
alde
mar
us –
sho
tsho
p.co
m
Software. Beratung. Lösungen.dbh Logistics IT AG | www.dbh.de
SOFTWARELÖSUNG FÜR SICHERES COMPLIANCE MANAGEMENT
. SANKTIONSLISTENPRÜFUNG
. ZOLLTARIFLICHE WARENEINREIHUNG
. EXPORTKONTROLLE
. TAGESAKTUELLER CONTENT
. FÜR SAP VERFÜGBAR
Anzeige
8
Termine©
Dav
id A
usse
rhof
er/C
hris
tina
Kört
e
Weitere Termine
12./13.9.2016 Düsseldorf
11. Jahrestagung Compliance
Handelsblatt
14.9.2016 Frankfurt a.M.
11. Frankfurter Compliance Talk
Bundesanzeiger Verlag – Datenschutzakademie
15.9.2016 Berlin
BVMed – Spezial-Workshop Compliance
BVMed – Bundesverband Medizintechnologie e.V.
18.10.2016 Stuttgart
Off enlegungspfl icht von Unternehmen
Bundesanzeiger Verlag
19.10.2016 München
IT-Sicherheit für den Datenschutzbeauft ragten
Bundesanzeiger Verlag – Datenschutzakademie
21.10.2016 Frankfurt a.M.
Datenschutz-Management
Bundesanzeiger Verlag – Datenschutzakademie
25.10.2016 München
Off enlegungspfl icht von Unternehmen
Bundesanzeiger Verlag
www.comply-online.de comply. 1/2016
AnzeigeDatenschutzakademie
Aus- und Fortbildung für den DatenschutzbeauftragtenAlle Seminartermine unter www.comply-datenschutz.de
© newlight - Shotshop.de
Termine der Compliance Academy
21.10.2016 München
DIN/ISO 19600 Compliance
Management Systems –
Update und Erfahrung
8.11.2016 Münster
Betriebswirtschaft liche Prozesse
für Compliance-Verantwortliche
14.11.2016 München
Compliance-Lösungen
für Startup-Unternehmen
21.11.2016 München
Start Up-Seminar Compliance
im Mittelstand
29.11.2016 München
Legal Management –
Pfl ichten und Haft ung
der Compliance Offi cer
9comply. 3/2016 www.comply-online.de
Compliance Training mit Biss
und hohem Erfüllungsgrad
M.I.T bietet Trainings- und Kommunikationslösungen, die ankommen:
Zielführende Beratung – motivierende Lernprogramme – Kommunikations- und Quizlösungen mit Pfiff – effizientes
Lernmanagement – Seminare und Workshops für Risikogruppen – wirksame Blended Learning Pakete – Trainings-Outsourcing
zur Entlastung für die Kernaufgaben
M.I.T e-Solutions GmbH, Am Zollstock 1, 61381 Friedrichsdorf, [email protected] Telefon +49 6172 7100-0
10 www.comply-online.de comply. 3/2016
§
§
11comply. 3/2016 www.comply-online.de
Im Interview mit Gregor Lehnert 12
Bringt neues Bewachungsrecht auch neue Qualität der Sicherheitsdienste?
Alexander Matuk, LL.M. 14
Strengere Regeln für das Bewachungsgewerbe
Dr. Berthold Stoppelkamp 18
Wirtschaftsschutz
Im Interview mit Manfred Buhl 20
Von Corporate Security bis zur „security by design“
Martin Stadelmaier 24
Flughafensicherheit und Compliance
Isabel Münch 28
Informationssicherheit im Unternehmen
Knut Schönfelder 32
red team
Im BrennpunktSecurity Compliance
© R
ogot
anie
– is
tock
phot
o.co
m
§
www.comply-online.de comply. 3/201612
Interview
Bringt neues Bewachungsrecht auch neue Qualität der Sicherheitsdienste?Im Gespräch* mit Gregor Lehnert, Präsident des Bundesverbandes der Sicherheitswirtschaft, über die bevorstehende Reform des Sicherheitsgewerberechts.
comply: Herzlichen Dank für Ihre Bereit-
schaft , uns für ein Interview zur Verfügung
zu stehen!
Der Gesetzgeber wird voraussichtlich
noch in dieser Legislaturperiode die Refor-
men des Sicherheitsgewerbes durchsetzen.
Bestand hierzu überhaupt ein tatsächlicher
Handlungsbedarf oder ist das Handeln eher
durch politischen oder auch gesellschaft lichen
Druck motiviert?
Gregor Lehnert: Die Regierung hatte sich
bereits im Koalitionsvertrag vorgenommen,
verbindliche Anforderungen an Seriosität
und Zuverlässigkeit privater Sicherheits-
dienste zu stellen. Der BDSW hat von Anfang
an eine Umsetzung eingefordert. Richtig
Bewegung kam in den Gesetzgebungspro-
zess aber erst durch die anhaltende Medien-
berichterstattung über schlimme Vorfälle in
Flüchtlingsunterkünft en unter Beteiligung
von unseriösen Securityfi rmen. Dadurch ist
der öff entliche und damit auch politische
Handlungsdruck gestiegen.
comply: Welche Rolle für die Reform-
vorschläge haben Ihrer Ansicht nach die
Vorfälle bei der Bewachung der Flüchtlings-
unterkünft e sowie die weitere Einbindung
der Sicherheitswirtschaft bei Terrorabwehr
gespielt?
Gregor Lehnert: Die Vorfälle in Flüchtlings-
unterkünft en haben allein den politischen
Handlungsdruck erzeugt. Bereits Ende
November 2015 hatte ein Bund-Länder-
Ausschuss Gewerberecht erste Eckpunkte
für eine Novellierung des Bewachungs-
rechts erarbeitet, auf dessen Basis dann der
Gesetzentwurf erarbeitet wurde. Die Terror-
anschläge haben auf den aktuellen Gesetzge-
bungsprozess keinen Einfl uss gehabt, da in
Deutschland für die potenziellen Anschlags-
ziele im Bereich kritischer Infrastrukturen
(Flughäfen und Atomkraft werke) bereits
hohe Sicherheits- und Qualitätsstandards
für das Sicherheitspersonal auf Basis spezial-
gesetzlicher Regelung bestehen.
comply: Lassen Sie uns nun auf einige kon-
krete Reformpunkte eingehen. Wir lesen in
der Reformbegründung an vielen Stellen,
dass der Reforminitiator auf die Erhöhung
der Qualität der Sicherheitsdienste, insbe-
sondere auch im Bereich der Bewachung der
Flüchtlingsunterkünft e, abzielte. Andererseits
wird aber bis auf das leitende Personal kein
Sachkundenachweis von dem Bewachungs-
personal gefordert. Wie ist das zu erklären?
Gregor Lehnert: Es geht darum, im Bereich
der Flüchtlingsunterkünft e möglichst schnell
bei den Sicherheitsmitarbeitern ein höheres
*Das Gespräch für die comply. führte Prof. Dr. Bartosz Makowicz
Verband
comply. 3/2016 www.comply-online.de 13
Interview
Qualitätsniveau zu erzielen. Dabei setzt der
BDSW weniger auf die Sachkundeprüfung
an sich, die keine Kenntnisse zum Schutz von
Flüchtlingsunterkünft en vermittelt, sondern
vielmehr auf ein vom Verband entwickeltes
modulares Qualifi zierungskonzept, was
Elemente von interkultureller Kompetenz,
Sprachkompetenz und Deeskalationstrai-
ning beinhaltet. Wir als BDSW hätten uns
gewünscht, dass so etwas in das Gesetz auf-
genommen worden wäre. Das Hauptproblem
beim Schutz von Flüchtlingsunterkünft en
ist, dass die Dienstleistung häufi g ohne jegli-
che Qualitätsanforderungen nur zum billigs-
ten Preis ausgeschrieben und vergeben wird.
Hier muss ein Paradigmen-
wechsel bei der öff entlichen
Hand bei Ausschreibun-
gen erfolgen. Qualität hat
ihren Preis. Qualifi zierte
Sicherheitsdienstleistungen
können nicht zum gesetzli-
chen Mindestlohn erbracht
werden.
comply: Wäre es vollständig
realitätsfern, wenn ein künf-
tiges Gesetz einen Sachkun-
denachweis vom gesamten
Bewachungspersonal fordern
würde? Wäre ein solches
Sonderopfer nicht dadurch
gerechtfertigt, dass das Sicherheitspersonal
letztendlich höchst sensible Rechtsgüter wie
Leib und Leben sowie Eigentum bewacht?
Zumindest nach der vorliegenden Reform soll
„lediglich“ der Unterrichtungsnachweis wei-
terhin Regelfall bleiben.
Gregor Lehnert: Eine solche Novellierung
des Bewachungsrechts unterstützt der
BDSW, wenn gleichzeitig die Inhalte der
Sachkundeprüfung praxisnäher gestal-
tet werden. Allerdings muss es einen
Bestandsschutz für langjährig erfolgrei-
che Mitarbeiter bzw. ausreichend lange
Fristen zur Erlangung des Sachkunde-
nachweises geben. Wir gehen von einer sechs-
monatigen ununterbrochenen Tätigkeit im
Sicherheitsgewerbe aus. Aber auch bei der
Sachkundeprüfung gilt, sie ist eine gewer-
berechtliche Zulassungsvoraussetzung und
keine Ausbildung.
comply: Nach dem geänderten Gesetz wer-
den mehr Prüfungen abgenommen werden
müssen. Sind die dafür zuständigen Prüfstel-
len darauf tatsächlich vorbereitet? Besteht die
Gefahr, dass damit auch Sicherheitsunter-
nehmen überlastet werden könnten, wenn
sie zu viele Mitarbeiter zu Schulungen und
Prüfungen schicken müssen?
Gregor Lehnert: Die Gefahr sehen wir bei
einigen IHKs, wo bereits heute zeitnah keine
Unterrichtungsverfahren angeboten werden.
Wartezeiten von mehreren Monaten sind
nicht hinnehmbar. Sie behindern die recht-
lich saubere Gewerbeausführung unserer
Mitgliedsunternehmen. Hier ist mehr Fle-
xibilität auf Seiten der Kammerorganisation
gefordert. Außerdem fordern wir seit der
Einführung des Unterrichtungsverfahrens
im Frühjahr 1996, dass die vom BDSW zer-
tifi zierten Sicherheitsfachschulen als durch-
führende Stellen anerkannt werden. Dies
würde auch zu einer Entlastung der Kammer-
organisation führen.
comply: Im Hinblick auf die Zuverlässigkeit
der Gewerbetreibenden sieht die Reform
künft ig Wiederholungsprüfungen in zeitli-
chen Abständen von mindestens drei Jahren
vor. Eine solche Wederholungsprüfung wird
jedoch nicht für den künft ig geforderten Sach-
kundenachweis verlangt. Handelt es sich hier-
bei um ein gesetzgeberisches Versehen oder ist
diese Abweichung tatsächlich gerechtfertigt?
Gregor Lehnert: Nach dem letzten Gesetz-
gebungstext, soll die Zuverlässigkeit regel-
mäßig innerhalb von fünf Jahren wiederholt
werden. Da die Mitarbeiter von BDSW-Un-
ternehmen regelmäßig weitergebildet wer-
den, ist eine regelmäßige Wiederholung der
Sachkundeprüfung nicht angezeigt.
comply: Wie beurteilen Sie den Plan der Ein-
führung eines Bewacherregisters?
Gregor Lehnert: Dieses Register begrüßen
wir ausdrücklich. Es wäre ein deutlicher
Gewinn von mehr Transparenz, da es zu
einem bundesweiten Überblick über alle
zugelassenen Unternehmen und deren Mit-
arbeiter führen würde. Damit würde auch
die leider verbreitete Fälschung von Unter-
richtungs- und Sachkundenachweisen wirk-
sam bekämpft werden. Wir hoff en, dass das
Register nicht erst Ende 2018, sondern Ende
nächsten Jahres eingerichtet sein wird. Off en
ist derzeit auch noch, bei welcher Behörde
das Register angesiedelt sein soll. Wir könn-
ten uns das BAFA – Bundesamt für Wirt-
schaft und Ausfuhrkontrolle vorstellen. Wir
brauchen als Wirtschaft und vor allem im
Interesse der Sicherheit schnell Klarheit.
comply: Bei der Einstellung
des Bewachungspersonals sieht
die Reform künft ig umfangrei-
che Pfl ichten zur Einholung
der Auskunft vor. Bei etwa
Bewachung von Flüchtlings-
unterkünft en wird sogar eine
Auskunft bei dem Verfassungs-
schutz vorgesehen. Halten Sie
diese Regel nicht für übertrie-
ben? Oder sollten sie sogar auf
sämtliche Bewacher ausgewei-
tet werden?
Gregor Lehnert: Die vor-
gesehene Regelung ist nach
Auff assung des BDSW ver-
hältnismäßig, da es um den Schutz von Leib
und Leben in besonders sensiblen Aufgaben-
bereichen geht. Das Eindringen von unzu-
verlässigen Personen mit rechtsradikalem
Hintergrund in Schutzaufgaben von Flücht-
lingsunterkünft en muss verhindert werden.
Eine Regelanfrage beim Verfassungsschutz
für die gesamte Branche halten wir für
unverhältnismäßig.
comply: Wie würden Sie den Reformvor-
schlag im Allgemeinen bewerten?
Gregor Lehnert: Die Novellierung ist auf
jeden Fall ein Schritt in die richtige Richtung.
Allerdings wird das qualitative Schutzniveau
für Großveranstaltungen, öff entlichen Perso-
nenverkehr, Flüchtlingsunterkünft e und kri-
tische Infrastrukturen durch Einbeziehung
von privaten Sicherheitsdiensten nur dann
fl ächendeckend für Deutschland auf ein
einheitliches hohes Niveau gehoben werden
können, wenn sich die Politik endlich darauf
verständigt, für diese Sektoren spezialgesetz-
liche Regelungen außerhalb der Gewerbe-
ordnung zu schaff en. Das ist eine Baustelle
für die nächste Legislaturperiode.
comply: Lieber Herr Lehnert, herzlichen
Dank für das Gespräch!
„Für ein qualitatives Schutzniveau für
Großveranstaltungen, den öff entlichen
Personenverkehr, Flüchtlingsunterkünft e
und kritische Infrastrukturen brauchen
wir spezialgesetzliche Regelungen
außerhalb der Gewerbeordnung.“
Verband
© fi
lo –
isto
ckph
oto.
com
14 www.comply-online.de comply. 3/2016
Strengere Regeln für das Bewachungsgewerbe Medienwirksame Skandale in Flüchtlingsheimen zwingen die Regierung zu einer Gesetzesreform, die schwarzen Scharfen der Security-Branche den Garaus machen soll.Mit zunehmender Spannung in der Flüchtlingsproblematik hat vor allem das Ansehen der privaten
Sicherheitsbranche gelitten. Unzählige Vorfälle in Flüchtlingsunterkünft en mit Beteiligung von Bewa-
chungspersonal machten bundesweit auf die problematischen Umstände der gesamten Branche auf-
merksam. Sowohl Übergriff e seitens der Security-Mitarbeiter als auch die Anzahl der neu gegründeten
Bewachungsunternehmen und der große Bedarf nach Personal lassen die gewerbliche Sicherheitsbran-
che zusehends unter Druck geraten. Vor diesem Hintergrund erarbeitete das BMWi ein Eckpunkte-
papier zur Verschärfung des gewerblichen Bewachungsrechts.
15
Brennpunkt
comply. 3/2016 www.comply-online.de
Hintergrund und aktuelle Situation
Mit der bisherigen Ausgestaltung des § 34a GewO und
seiner Berufszugangs- und Ausübungsregelungen
wird die Bewachererlaubnis erteilt, wenn Zuverlässig-
keit, geregelte Vermögensverhältnisse, der Nachweis
der erforderlichen Sachkunde und der Abschluss
einer Betriebshaft pfl ichtversicherung des Gewerbe-
treibenden nachgewiesen werden können. Als Bewa-
chungspersonal kommen des Weiteren nur Personen
in Betracht, die ebenso Zuverlässigkeit beglaubi-
gen können, volljährig sind und ihre erforderliche
Sachkunde beweisen können.1 Nur in bestimmten
Fällen wird anstatt des Unterrichtungsnachweises
die Bescheinigung der Industrie- und Handelskam-
mer über die positiv abgelegte Sachkundeprüfung
verlangt.
Regelbeispiele zur Zuverlässigkeit sollen höheren Sicherheitsqualitätsstandard etablierenSowohl aus der Wissenschaft als auch der Praxis sind
trotz der Bewachungsgewerberechtsnovelle 2012
die Forderungen nach einer Verschärfung der Sach-
kundeprüfung des Wachpersonals immer deutlicher
geworden. Aufgrund der steigenden Anforderung an
das private Sicherheitsgewerbe einerseits, und dem
statischen Bewachungsrecht andererseits, ist im Zuge
der Gesetzesänderung von 2012 versucht worden über
das Hinzufügen von Regelbeispielen zur Zuverlässig-
keit gem. § 34a Abs. 1 S. 5 GewO a.F. einen höheren
Sicherheitsqualitätsstandard zu etablieren. Dies wird
seither regelmäßig kritisiert, da die persönliche Sach-
kunde de facto nicht gestiegen ist und es somit als
fraglich erscheint von einem Fortschritt zu sprechen,
wenn über den Umweg der Zuverlässigkeitsprüfung
auf die Sicherheitskompetenz des Wachpersonals
geschlossen wird.2
Sachkundeprüfung vs. Unterrichtungs-verfahren – steigende Anforderungen
Gerade bei sensiblen Bewachungsaufgaben, wie es bei
Flüchtlingsunterkünft en der Fall ist, stellen vorbeu-
gende Maßnahmen bei Gefahren- und Konfl iktsitua-
tionen alle Beteiligten unter besonders hohen Druck.
Aus diesem Grund soll künft ig sichergestellt werden,
dass der Bewachungsunternehmer selbst Deeskalati-
onstechniken und potenzielle Gefahrenherde einzu-
ordnen weiß.
Anstatt des bisherigen Unterrichtungsnachweises
müssen Bewachungsunternehmer gem. § 34a Abs.
1 S. 3 Nr. 1-3 GewO n.F. demnächst einen Sachkun-
denachweis erbringen. Zusätzlich gelten geordnete
Vermögensverhältnisse und die Nachweispfl icht einer
Haft pfl ichtversicherung als weitere Voraussetzung
für Gewerbetreibende.
Die Unterrichtung bleibt indes als eigenständiger
Nachweis für das Bewachungspersonal erhalten. Obli-
gatorisch wird die Sachkundeprüfung in der neuen
Fassung der Gewerbeordnung auch für Bewachungs-
personal in leitender Funktion von Flüchtlingsunter-
künft en und Großveranstaltungen. Fraglich bleibt,
wieso in der Entwurfsbeschreibung hierbei nur auf
die Personen abgestellt wird, die vor Ort verantwort-
lich und weisungsbefugt sind.3
Die Sachkundeprüfung und das Unterrichtungs-
verfahren für Bewachungsunternehmer ist ferner
eindeutiger defi niert und um praxisbezogene Ele-
mente erweitert worden. Zusätzlich werden Regelbei-
spiele für Unzuverlässigkeit von Unternehmen und
Personal gem. § 34a Abs. 1 S. 3 Nr. 1-4 GewO n.F.
eingeführt. Des Weiteren sollen fälschungssicherere
Sachkunde- und Unterrichtungsnachweise für höhere
Sicherheit unter den jährlich betroff enen ca. 1.000
Gewerbetreibenden des Bewachungsgewerbes und ca.
2.000 Wachpersonen garantieren.
Einrichtung eines zentralen Bewacherregisters
Die Einrichtung eines zentralen Bewacherregis-
ters soll gem. § 34a Abs. 6 GewO n.F. bis zum
31. Dezember 2017 erfolgen. Bundesweit sollen Daten
zu Bewachungsgewerbetreibenden nach § 34a Abs. 1
S. 1 GewO n.F. und Bewachungspersonal nach § 34a
Abs. 1a S. 1 GewO n.F. elektronisch auswertbar zu
erfassen sein und auf dem aktuellen Stand gehalten
werden. Das Ziel der Änderung ist die eingehende
und fortlaufende Überprüfungsmöglichkeit durch
Gewerbebehörden über rechtsradikale, islamistische
oder sonstige extremistische Bestrebungen in die
Beurteilung der Zuverlässigkeit des Gewerbetreiben-
den. Hiermit soll sichergestellt werden, dass beson-
ders sensible Bereiche des Bewachungsgewerbes, wie
etwa in Flüchtlingsunterkünft en, regelmäßig kontrol-
liert werden müssen und Auff älligkeiten frühzeitig
erkannt werden können. Im Rahmen der Überprü-
fung der Zuverlässigkeit des Gewerbetreibenden soll
das neue Bewachungsregister neben dem Bundeszen-
tralregister, Gewerbezentralregister und der Stellung-
nahme von Polizeibehörden, die Möglichkeit schaff en,
gebündelte Informationen über die Gewerbetrei-
benden für die Gewerbebehörden zur Verfügung zu
stellen. Während des Erlaubnisverfahrens sowie bei
bundesweiten Kontrollen vor Ort können notwendige
Informationen über das Vorliegen des erforderlichen
Unterrichtungs- bzw. Sachkundenachweises sowie
über die Zuverlässigkeit durch Einsichtnahme in das
Register schnell beschafft werden. Durch die deutlich
kürzeren und vereinfachten Informationswege kann
davon ausgegangen werden, dass sich die Maßnahme
zur Einführung des Bewachungsregisters positiv auf
die Eff ektivität der behördlichen Kontrollarbeit aus-
wirken wird und sog. schwarze Schafe schneller auf-
gespürt werden können.
Regelmäßige Überprüfung der Zuverlässigkeit
Mit der regelmäßigen Überprüfung der Zuverläs-
sigkeit des Bewachungsgewerbes soll mit der neuen
Security Compliance
Alexander Matuk, LL.M.
Der Autor ist wissen-
schaft licher Mitarbeiter
am Viadrina Compliance
Center an der Europa-
Universität Viadrina in
Frankfurt (Oder).
16 www.comply-online.de comply. 3/2016
Fassung ein zusätzliches Überwachungsinstrument
eingeführt werden. Die Ausweitung der regelmäßi-
gen Überprüfung der Zuverlässigkeit gem. § 34a Abs.
1 S. 3 Nr. 1-3 GewO n.F. gehört zu den Eckpfeilern
der geplanten Gesetzesänderung. In Zukunft muss
durch die zuständige Behörde zur Überprüfung der
Zuverlässigkeit des Gewerbetreibenden mindestens
eine Auskunft aus dem Gewerbezentralregister sowie
eine unbeschränkte Auskunft aus dem Bundeszen-
tralregister eingeholt werden. Zudem sind künft ig
das Führungszeugnis und eine Stellungnahme der
Polizeibehörde nötig. Schließlich erhalten zuständige
Behörden die Möglichkeit bei den Landesbehörden
für Verfassungsschutz und bei der für den Wohn-
ort zuständigen Polizeibehörden, einer zentralen
Polizeidienststelle oder dem jeweils zuständigen
Landeskriminalamt nach Unternehmen und Perso-
nal anzufragen. Eine regelmäßige Überprüfung der
Zuverlässigkeit der Gewerbetreibenden und des ein-
gesetzten Wachpersonals, welche gem. § 34a Abs. 1 S.
6 und § 34a Abs. 1a S. 5 GewO n.F spätestens alle drei
Jahre wiederholt werden soll, rundet die Kontrolle ab.
Kosten
Trotz des prognostizierten Mehraufwands von
1.421.500 € pro Jahr soll sich die Einholung von
Führungszeugnissen und der Stellungnahme der
zuständigen Behörde der Landespolizei, Ausgabe der
Führungszeugnisse für Behörden, Stellungnahme der
zuständigen Behörde der Landespolizei und darüber
hinaus entstehenden einmaligen Investitionskosten
zzgl. jährlichen Wartungskosten beim Bundesamt für
Verfassungsschutz in Höhe von ca. 50.000 € für die
Einrichtung einer einheitlichen Eingangsschnittstelle
für den automatisierten Abgleich im nachrichten-
dienstlichen Informationssystem. Dem nämlich steht
geschätzt eine Entlastung der Sicherheitswirtschaft
von jährlich 1.150.000 € gegenüber. Diese resultiert
laut neuer Fassung aus den Änderungen zur Sach-
kundeprüfung und eingesparten Gebühren für die
Unterrichtung, die je 40-stündige bzw. 80-stündige
Sachkundeprüfung 250 € beim Bewachungspersonal
Brennpunkt Security Compliance
bzw. 650 € bei Bewachungsunternehmern ergeben.
Bei einer Fallzahl von geschätzt 100.000 Bewachungs-
unternehmern in Deutschland ist der Aufwand zur
Erreichung von höheren Sicherheitsstandards zwar
hoch, wird aber von den Einsparungen auf Seiten der
Wirtschaft relativiert.
FAZIT
Trotz der strengeren Anforderungen an
das Sicherheitspersonal kann noch lange
nicht von einem branchenweiten Aufatmen
die Rede sein. Der Gesetzesentwurf wird
zunehmend hart kritisiert, da er gerade im
Bereich der Flüchtlingsunterkünft e weiterhin
Personal ohne Sachkundenachweis zulässt.
Nur Personal mit leitender Funktion ist von
den Neuerungen umfasst. Zweifelhaft bleibt
überdies, ob ein 40-stündiger Sachkundeun-
terricht grundsätzlich ausreichend ist, um
die anspruchsvollen Aufgaben zu überneh-
men, die von privaten Sicherheitsdiensten
erwartet werden. Insbesondere Fragen rund
um die Sicherheit in Flüchtlingsunterkünf-
ten, die einen Bedarf von 15.000 Wachleuten
geschaff en hat, bleibt größtenteils ungelöst.
Spezielle kulturelle Schulungen, wie etwa vom
BDSW gefordert, sind im Gesetzesentwurf
nicht vorgesehen. Zusätzlich dazu fi nden die
off ensichtlich überforderten Sicherheitsfi r-
men nicht genügend qualifi ziertes Personal
und setzen häufi g auch ungeeignete Bewerber
ein. An diesem Zustand wird das Gesetz zur
Änderung bewachungsrechtlicher Vorschrif-
ten vermutlich nichts ändern können.
1 Vgl. Erbs/Kohlhaas/Ambs, GewO, § 34a Rn. 5.
2 Vgl. Brauser/Jung, Verfassungsrechtliche Grundlagen,
Rn. 34-38 in Stober/Olschok, Handbuch des Sicherheitsge-
werberechts, S. 156.
3 BT-Drucksache 164/16, S. 16, a.a.O.
17
Brennpunkt
comply. 3/2016 www.comply-online.de
Fiscal Compliance
© M
arco
2811
– fo
tolia
.com
w w w. m a r t i n - m a n t z . d e
18 www.comply-online.de comply. 3/2016
WirtschaftsschutzWie schütze ich meine Unternehmenswerte?
Unternehmen stehen vor gewaltigen Herausforderungen im Sicherheitsbereich. Dies gilt insbesondere
für KMU-Unternehmen, die mit ihrem Ideenreichtum, ihrer Flexibilität und Innovationsfähigkeit das
Rückgrat des Wirtschaft sstandortes Deutschland bilden. Die veränderten Bedrohungsphänomene, ins-
besondere die gewachsenen Bedrohungen durch Wirtschaft sspionage und Angriff e auf IT-Systeme füh-
ren nach Ansicht von Experten zu gravierenden volkswirtschaft lichen Schäden von über 50 Milliarden
Euro pro Jahr. Unternehmen müssen sich auf diese Bedrohungen angemessen vorbereiten. Allerdings
fehlen – mit Ausnahme der DAX-Unternehmen bzw. „Global Player“ – vielerorts in den Unternehmen
notwendige eigene Ressourcen, um Sicherheitsrisiken zu erkennen und potenziellen Angriff en eff ektiv
zu begegnen. Diese Sicherheitslücke kann die Sicherheitswirtschaft mit maßgeschneiderten Sicherheits-
dienstleistungen schließen.
19
Brennpunkt
comply. 3/2016 www.comply-online.de
Sicherheitswirtschaft hilft
Ein eff ektiver Wirtschaft sschutz umfasst daher neben
Informationen zu Sicherheitsrisiken die Erstellung
eines Sicherheitskonzeptes und die Entwicklung einer
Wirtschaft sschutzstrategie für das Unternehmen.
Hierzu sind insbesondere Sicherheitsdienstleister
mit ausreichenden Kenntnissen über die aktuellsten
Bedrohungsszenarien für die deutsche Wirtschaft
geeignet.
Mitglieder des BDSW werden durch interne Ver-
bandsschulungen mit Unterstützung des Inlands-
nachrichtendienstes, BfV und als Partner der
Bundesinitiative Wirtschaft sschutz auf diese Aufgabe
umfassend vorbereitet und können so im Bereich des
Wirtschaft sschutzes einen erheblichen Sicherheits-
mehrwert für das Kundenunternehmen erzielen. Die
Sicherheitswirtschaft leistet damit einen erheblichen
Beitrag zur Unternehmenssicherheit in der deutschen
Wirtschaft und trägt heute maßgeblich zur Sicherung
des Wirtschaft sstandortes Deutschland bei.
Initiative Wirtschaftsschutz – Gemeinsam. Werte. Schützen.
Um insbesondere den Herausforderungen zur
Abwehr von Wirtschaft sspionage, Sabotage und
Konkurrenzausspähung zu begegnen, haben die vier
Wirtschaft sverbände BDSW, BDI, DIHK und ASW
gemeinsam mit dem Bundesamt für Verfassungs-
schutz, dem Bundeskriminalamt, dem Bundesnach-
richtendienst und dem Bundesamt für Sicherheit in
der Informationstechnik, koordiniert durch das Bun-
desministerium des Innern, Maßnahmen zur Ver-
hinderung von Angriff en auf die deutsche Wirtschaft
entwickelt. Unter dem Leitbild „Gemeinsam. Werte.
Schützen.“ hat die „Initiative Wirtschaft sschutz“
ein umfassendes Schutzkonzept entwickelt. Dieses
umfasst Maßnahmen und Projekte zum Schutz deut-
scher Unternehmen.
Neue gemeinsame Informationsplattform der Bundessicherheitsbehörden
Herzstück der Initiative ist die neue Informations-
plattform www.wirtschaft sschutz.info. Auf dieser
Plattform werden erstmals in der Geschichte der
Bundesrepublik vielfältige Informationen der Bun-
dessicherheitsbehörden zum Wirtschaftsschutz
gebündelt und stehen in einem geschützten Bereich
jedem registrierten Unternehmen in Deutschland
kostenfrei zur Verfügung. Zudem gibt es im off enen
Bereich Hilfsangebote und Handlungsempfehlungen
zur Selbsthilfe. Auch eine Kontaktaufnahme zu den
Bundessicherheitsbehörden ist über die Informati-
onsplattform möglich, um in einen Dialog eintreten
zu können. Auch dies ist Ausdruck einer neuen Ver-
trauenskultur zwischen Staat und Wirtschaft bei der
Bewältigung von Risiken für die Unternehmen.
Security Compliance
Dr. Berthold Stoppelkamp
Der Autor ist Leiter
des Hauptstadtbüros
des BDSW (Bundes-
verband der Sicher-
heitswirtschaft ) und
zuständiges Geschäft s-
führungsmitglied für
den BDSW–Arbeitskreis
Wirtschaft sschutz
sowie die „Initiative
Wirtschaft sschutz“.
FAZIT
Die Mitarbeiter sind der Schlüssel zum Wirt-
schaft sschutz! Mehrere Studien belegen, dass
in mehr als der Hälft e der bekannt gewor-
denen Fälle von Wirtschaft sspionage und
Wirtschaft skriminalität gegen Unternehmen
Mitarbeiter – meist unbewusst oder durch
Fahrlässigkeit – in das Tatgeschehen involviert
sind. Sensibilisierte und in Sicherheitsthemen
geschulte Mitarbeiter können daher maßgeb-
lich zum Wirtschaft sschutz beitragen. Dabei
sind es neben der Nutzung von modernster
Sicherheitstechnik zum Objektschutz bzw. zur
IT-Infrastruktur das aufmerksame, sensible
Verhalten der Mitarbeiter, was Schäden verhin-
dern kann. Warum ist das Türschloss defekt?
Warum erhalte ich als email eine Monatsrech-
nung für ein Abo, was ich gar nicht bestellt
habe? Auch bei der Sicherheitsschulung von
Mitarbeitern bietet die deutsche Sicherheits-
wirtschaft – und dabei die im Wirtschaft s-
schutz spezialisierten Unternehmen des BDSW
– maßgeschneiderte Unterstützung.
Zur Vertiefung:
www.wirtschaftschutz.info
www.comply-online.de comply. 3/201620
Interview
Von Corporate Security bis zu „security by design“Im Gespräch* mit Manfred Buhl, CEO und Vorsitzender der Geschäftsführung der Securitas Holding GmbH, über den Beitrag der Sicherheitswirtschaft zur Unternehmenssicherheit sowie über die Rolle der Compliance in Sicherheitsunternehmen.
comply: Herzlichen Dank für Ihre Bereit-
schaft , uns für ein Interview zur Verfügung
zu stehen!
Wenn Sie die Lage heute und vor 10 bis 15
Jahren vergleichen: Wie haben sich sicher-
heitstechnische Außenrisiken für die deut-
schen Unternehmen gewandelt?
Buhl: Die Sicherheitslage hat sich in den
vergangenen zehn bis fünfzehn Jahren
dramatisch verändert. Der islamistische
Terrorismus ist in diesem Zeitraum in
Europa angekommen und stellt auch
in Deutschland eine reale Gefahr mit
einem kaum abschätzbaren Schadenspo-
tenzial dar. Cybercrime und Cyberwar
haben heute eine ganz andere Dimension.
Angreifer sind viel professioneller. Ran-
somware ist zu einer alltäglichen erpres-
serischen Bedrohung der Underground
Economy geworden. Bei einer Umfrage
unter 600 Experten aus Unternehmen im
Mai 2016 haben mehr als die Hälfte der
Befragten den Diebstahl von Firmenda-
ten zu den größten Sicherheits-Risiken
gezählt. Und die Zahl der Wohnungs-
einbrüche ist allein in den vergange-
nen fünf Jahren in Deutschland um ein
Drittel angestiegen. Hier ebenso wie
bei der IuK-Kriminalität zeigt sich
der Präventionswert der Sicherheit-
stechnik: Mehr als 40 % der Einbrüche
bleiben inzwischen im Versuchsstadium
stecken.
comply: Und wie hat sich die Sicherheits-
wirtschaft bezogen auf die sich ändernde
Gefahrenlage entwickelt? Wird den wach-
senden und neuartigen Risiken ausrei-
chend Rechnung getragen? Welche Rolle
kommt derzeit der Sicherheitswirtschaft
beim Wirtschaft sschutz generell zu?
Buhl: Die Sicherheitswirtschaft hat auf
die veränderte Gefahrenlage angemessen
reagiert. Dabei hat die Kreativität einzel-
ner Unternehmen ebenso dazu beigetragen
wie die Kräft e des Marktes. Forschung
und Entwicklung in der Sicherheitstech-
nik verdienen hohe Anerkennung. Ich
erwähne nur die neuen Körperscanner
für die Passagierkontrollen in Flughäfen,
die insbesondere die Sprengstoff detektion
wesentlich verbessern. Die Gefahrenmel-
detechnik, über IP vernetzt mit Video-
überwachung, ermöglicht die Detektion
eines Einbruchversuchs noch bevor hoher
Sachschaden angerichtet wurde. Und sie
ermöglicht das Ansprechen des Täters
aus sicherer Distanz der Leitstelle heraus.
Soft warefi rmen entwickeln immer wirk-
samere Abwehrsysteme gegen die Flut der
Cyber-Angriff e. Hier besteht geradezu ein
Wettlauf zwischen Angreifern und den
*Das Gespräch für die comply. führte Prof. Dr. Bartosz Makowicz
Sicherheitswirtschaft
comply. 3/2016 www.comply-online.de 21
Interview
IT-Sicherheitsexperten der Wirtschaft. Die
Rolle der Branche beim Wirtschaftsschutz
verdeutlicht am besten das breite Aktions-
bündnis des Bundesinnenministers mit
den Bundessicherheitsbehörden BSI, BfV,
BND und BKA auf der einen Seite und den
Wirtschaftsverbänden BDI, DIHK, BDSW
und ASW auf der anderen Seite bei der im
Mai diesen Jahres gestarteten „Initiative
Wirtschaftsschutz“.
comply: Ist nach Ihrer
Beobachtung festzustel-
len, dass immer mehr
Sicherheitsaufgaben des
Staates im Bereich des
Wirtschaftsschutzes auf
die private Sicherheitswirt-
schaft übertragen werden?
Wie ist die Entwicklung in
Deutschland im Vergleich
zu anderen Ländern, ins-
besondere den USA oder
den skandinavischen Staa-
ten zu beurteilen?
Buhl: Ich sehe nicht, dass immer mehr
Sicherheitsaufgaben des Staates im Bereich
des Wirtschaftsschutzes – also des Schutzes
der deutschen Wirtschaft vor kriminellen
Bedrohungen, insbesondere der Spionage
ausländischer Nachrichtendienste – auf die
Sicherheitswirtschaft übertragen werden.
Die Sicherheitswirtschaft verfügt nicht
über die Kompetenzen, die der Polizei und
den Nachrichtendiensten zustehen. In den
skandinavischen Staaten spielt das Sicher-
heitsgewerbe generell eine stärkere Rolle als
in Deutschland.
Dagegen nimmt der Staat die Wirtschaft
gerade in jüngster Zeit mehr in die Pflicht,
die Sicherheitsbehörden bei der Gewähr-
leistung des Wirtschaftsschutzes stärker
zu unterstützen. Immer wieder appellieren
Verfassungsschutz und Polizei an die Wirt-
schaft, Anhaltspunkte für Ausspähungs-
angriffe zu melden. Und das im Juli 2015
in Kraft getretene IT-Sicherheitsgesetz ver-
pflichtet die Betreiber bestimmter kritischer
Infrastrukturen, Sicherheitsvorfälle unter
bestimmten Bedingungen an das BSI zu
melden. Bei Verstößen drohen Geldbußen
bis zu 100.000 €.
comply: Besondere Herausforderungen
stellt die IT- und Datensicherheit dar. So
hat etwa in einem Interview für die comply.
der deutsche Hacker Herr Linus Neumann
gesagt, dass es in Deutschland kaum Unter-
nehmen gibt, deren Systeme zu 100 % sicher
wären. Leistet die Sicherheitswirtschaft auch
in dem Bereich einen Beitrag zur Förderung
der Unternehmenssicherheit?
Buhl: Linus Neumann hat völlig Recht
mit seiner Bewertung, dass es eine hun-
dertprozentige Sicherheit der IT-Systeme
nicht gibt. Das gilt übrigens auch für die
physische Sicherheit. Aber das schmälert
nicht die Leistung der IT-Sicherheitswirt-
schaft, die innerhalb der Sicherheitswirt-
schaft parallel zur wachsenden Gefahr
von Cyber-Angriffen und zum Digitalisie-
rungstrend in der Wirtschaft ein immer
stärkeres Gewicht bekommt.
comply: Nun lassen Sie uns versuchen, eine
Brücke zwischen Unternehmenssicherheit
und der Compliance zu schlagen. Immer
mehr Risiko-Felder werden heutzutage im
Rahmen eines Compliance Management
Systems behandelt, so etwa die IT-Sicherheit,
Datensicherheit, etc. Wird sich dies nach
Ihrer Ansicht dahingehend entwickeln, dass
die Sicherheitsaufgaben künftig zu Aufgaben
der Compliance-Abteilung eines Unterneh-
mens gemacht werden?
Buhl: Es gibt in der Tat Konzerne, in denen
Corporate Security dem für Compliance
zuständigen Vorstandsmitglied zugeord-
net ist. Ich nenne nur die Deutsche Tele-
kom. Ich glaube aber nicht, dass hierdurch
Nachteile für die Corporate Security ent-
stehen. Im Gegenteil kann dadurch der
Corporate Security bei Vorstandsentschei-
dungen ein höheres Gewicht zukommen,
als wenn die Unternehmenssicherheit
zu einem operativen Geschäftsbereich
gehört, in dem sie eher als Kostenfaktor
statt als Wertschöpfungsfaktor bewertet
wird. Nachteilig beurteile ich dagegen eine
organisatorische Trennung von physischer
Sicherheit und IT-Sicherheit. Als orga-
nisatorischer Teil des Geschäftsbereichs
IT besteht die Gefahr, dass IT-Sicherheit
dort als entwicklungshemmender lästiger
Kostenfaktor beurteilt wird, anstelle ihrer
Berücksichtigung im frühestmöglichen
Entwicklungsstadium, also „security by
design“.
comply: Hat nach Ihrer Meinung der Ansatz
von „Security Compliance“, also Gewährleis-
tung, dass sicherheitsrelevante Vorschriften
eingehalten werden, was durch Strukturen
und Prozesse begleitet wird, eine Chance?
Buhl: Die Einhaltung sicherheitsrelevanter
Vorschriften in der Wirtschaft hat nicht
nur eine Chance. Sie ist zwingend geboten.
Ihre Befolgung gehört ebenso zu der vom
Unternehmen und seiner Geschäftsführung
einzuhaltenden Compliance wie Normen
des Strafrechts, des Wirtschaftsrechts und
des Arbeitsschutzrechts. Wenn die Unter-
nehmensführung die zur
Compliance gehörenden
Organisations- und Auf-
sichtspflichten verletzt und
dadurch Schäden entstehen,
können gegen das Unterneh-
men oder gegen Personen
der Unternehmensführung
Geldbußen nach dem Ord-
nungswidrigkeitengesetz ver-
hängt werden. Und nach
§§ 91, 93 AktG ist der Vor-
stand einer AG ebenso wie
nach § 43 GmbHG die Geschäftsführung
einer GmbH verpflichtet, wirtschaftlichen
Schaden vom Unternehmen abzuwenden,
der durch Verletzung von Compliance-Re-
geln entsteht. Aber auch das Strafrecht kann
je nach Art des Compliance-Verstoßes zur
Anwendung kommen.
comply: Lassen Sie uns nun die andere Seite
der Medaille betrachten. Bekanntlich steigen
die diversen Aufgaben, mit denen private
Sicherheitsunternehmen beauftragt werden,
sowie derer Komplexitätsniveau, konstant.
Die Sicherheitsunternehmen bewegen sich
oft selbst in Konstellationen, in denen starke
regulatorische Vorgaben einzuhalten sind.
Das fordert die Sicherheitsunternehmen
selbst, für interne Compliance und Qualität
zu sorgen. Wie bewerten Sie die bisherigen
Anstrengungen der deutschen Sicherheitsun-
ternehmen in dem Bereich?
Buhl: Bei den bisherigen Anstrengungen
der deutschen Sicherheitsunternehmen, für
Compliance und Qualität zu sorgen, sehe ich
Licht und Schatten. Es gibt zirka 4.000 Sicher-
heitsdienstleister, aber nur etwa 900 sind
Mitglieder des Bundesverbandes BDSW, der
nur Unternehmen als Mitglieder aufnimmt,
die rechtstreu und zuverlässig sind. Nicht alle
haben ein wirksames Qualitätsmanagement.
Und es gibt immer noch „schwarze Schafe“
in der Branche, die mit Dumpingpreisen das
„schnelle Geld“ machen wollen. Jeder skan-
dalöse Compliance-Verstoß ist „Wasser auf
die Mühlen“ der Kritiker. Und das Sicher-
heitsgewerbe steht seit jeher unter beson-
ders kritischer Beobachtung der Politik, der
Medien und der Öffentlichkeit.
„IT-Sicherheit sollte organisatorisch
im frühestmöglichen Entwicklungsstadium
als „security by design“ berücksichtigt
werden.“
Sicherheitswirtschaft
22
Interview
www.comply-online.de comply. 3/2016
comply: Gewiss ist in der Sicherheitsbran-
che das Th ema Compliance noch nicht in
dem Maße angekommen, als das bei gro-
ßen DAX-Unternehmen der Fall ist. Die
wesentliche Entwicklung war dort insbes.
durch große Wirtschaft sskandale, wie etwa
den SIEMENS-Fall, hervorgerufen worden.
Könnte ein ähnlicher Fall ein Auslöser für die
Beschäft igung der Sicherheitsunternehmen
mit dem Compliance-Th ema sein?
Buhl: Wir brauchen keinen Skandal mit
großen Schlagzeilen, damit Compliance
zu einem wichtigen und ernstgenomme-
nen Th ema in der Sicherheitswirtschaft
wird. Ich habe selbst in einem Beitrag im
Fachorgan DSD des BDSW, in dem ich
als Vizepräsident tätig bin, vor Jahren
die Notwendigkeit von Compliance im
Sicherheitsgewerbe ausführlich dargestellt
und die besonderen Herausforderungen
beschrieben. Diese ergeben sich zum Bei-
spiel aus der Funktion des Gewerbes, der
Marktsituation und aufgrund der oft geüb-
ten Praxis einer Auft ragsvergabe an den
billigsten Sicherheitsanbieter – anstelle der
Berücksichtigung des wirtschaft lichsten
und qualitativ angemessenen Angebots.
Auch das immer komplexere Regelungs-
umfeld für Dienstleistung an sich oder
auch die Auft ragsvergabe ist ein Faktor,
den die Compliance eines Sicherheitsun-
ternehmens im Auge haben sollte. Ver-
säumnisse in diesem Feld können nicht
nur teuer werden, im Extremfall sind sie
sogar existenzgefährdend.
comply: Falls es, was wir hoff en, an solchen
Auslösern mangeln wird, sollte nach Ihrer
Ansicht der Gesetzgeber für Anreize sorgen,
indem etwa vorhandene Compliance-Sys-
teme beim Regelverstoß sanktionsmildernd
berücksichtigt würden? Solche Anreize stellen
in vielen Ländern bereits gängige Praxis dar.
Buhl: Ein im Sicherheitsunternehmen
praktiziertes Compliance Management
System (CMS) sollte bei einem Regel-
verstoß berücksichtigt werden, wenn er
in einer Verletzung der zur Einhaltung
der Compliance erforderlichen Organi-
sations- und Aufsichtspfl ichten besteht.
Das ist zum Beispiel der Fall, wenn kein
Compliance Offi cer eingesetzt ist, der
mindestens „nebenamtlich“ tätig ist,
wenn keine Compliance Awareness durch
Information und Schulung der Manager
und Mitarbeiter durchgeführt wurde,
keine risikobasierten Kontrollprozesse
bestehen oder kein Whistleblowing-Sys-
tem eingeführt worden ist. Generell gilt:
Wenn ein Compliance-Fehler nachge-
wiesen worden ist, sollte das betroff ene
Unternehmen nachvollziehbar darlegen,
wie es ähnliche Fälle in Zukunft vermeiden
will. Geschieht dies durch ein neues oder
angepasstes Compliance-System, können
sanktionsmildernde Maßnahmen bei der
zügigen Umsetzung helfen. Aber auch sol-
che Anreize können keine hundertprozen-
tige Sicherheit garantieren.
comply: Wie könnten nach Ihrer Ansicht
Sicherheitsunternehmen ansonsten noch
dazu animiert werden, selbst eigene Com-
pliance-Systeme einzuführen? Oder besteht
hierzu nach Ihrer Auff assung überhaupt kein
Bedarf?
Buhl: Auf der Angebotsseite bin ich nicht
der Meinung, dass es weiterer Anreize zur
Einführung eines CMS über die beste-
hende Verpf lichtung nach dem Aktien-
gesetz, dem GmbHG sowie dem auch für
die Sicherheitswirtschaft geltenden Cor-
porate Governance Kodex hinaus bedarf.
Unser Bundesverband BDSW verlangt
von seinen Mitgliedsunternehmen abso-
lute Compliance. Andererseits würde ich
mir auf der Nachfrageseite wünschen,
dass Qualität und Compliance – zum
Beispiel bei öffentlichen Ausschreibungen
– stärker als Vergabekriterium gewichtet
werden.
comply: Zusammenfassend möchten wir
Ihnen noch eine allgemeine Abschlussfrage
stellen: Neuartige Risiken für die deutsche
Sicherheitswirtschaft
Wirtschaft und der Beitrag der Sicherheits-
wirtschaft zu ihrem Schutz – was wird sich bis
2020 im Wesentlichen ändern?
Buhl: Unter Berücksichtigung der derzeit
erkennbaren Trends wird die kriminelle
und terroristische Bedrohung der deut-
schen Wirtschaft weiter steigen. Die zuneh-
mende Globalisierung und Vernetzung der
Wirtschaft steigert insbesondere in Kri-
senregionen die Bedrohung durch inter-
nationalen Terrorismus. Die zunehmende
Digitalisierung der Wirtschaft macht sie
angreifb ar durch Cyber-Kriminelle. Und
auch die Wirtschaft sspionage wird durch
die auseinandergehende Schere zwischen
starken und schwachen Volkswirtschaft en
eher zunehmen. Die Sicherheitswirtschaft
wird dieser Entwicklung nicht tatenlos
zusehen, sondern ihre Leistungsfähig-
keit ständig optimieren: durch immer
wirksamere Sicherheitstechnik, durch
Integration dieser Sicherheitstechnik in
das kundenspezifi sche Angebot gesamt-
heitlicher Sicherheitslösungen, durch ver-
stärkte Beratung der Wirtschaft , vor allem
der mittelständischen Unternehmen, die
erkennbare Defi zite in der Corporate Secu-
rity aufweisen, durch Fokussierung auf
den Schutz kritischer Infrastrukturen und
durch einen höheren Digitalisierungsgrad
der eigenen Infrastruktur.
comply: Lieber Herr Buhl, herzlichen Dank
für das Gespräch!
23
Essentials
comply. 3/2016 www.comply-online.decomply. 1/2016 www.comply-online.de
Außenwirtschaft
Bestell-Hotline: 02 21/ 9 76 68-173/357E-Mail: [email protected]: 02 21/ 9 76 68-232 · in jeder Fachbuchhandlung
www.aw-portal.de/bestellung-awJetzt versandkostenfrei (deutschlandweit) bestellen:
www.bundesanzeiger-verlag.de
22. Jahrgang · 17. August 2016 · Seiten 201–228
8/2016
HERAUSGEGEBEN IN VERBINDUNG MIT DEMEUROPÄISCHEN FORUM FÜR AUßENWIRTSCHAFT,VERBRAUCHSTEUERN UND ZOLL E.V.
Ergänzung zur AW-Prax – Außenwirtschaftliche Praxis www.aw-portal.de
Rüstungsexporte 2015Freihandelsabkommen: Südkorea,CETA, TTIP, IndonesienZollpräferenzen: Ägypten, Zentral-amerika, westliche Balkan-staaten, MAR-StaatenHandelsbeziehungen der EUmit China
Zollrechtliches Ausfuhrverfah-ren – Anpassung an den UZKBAFA-Leitfaden„Technologietransfer undNon-Proliferation“
Gesetzgebungs-ReportSeminareStellenmarkt
www.bundesanzeiger-verlag.de
Vertriebspartnerin Österreich:
Kitzler Verlag
22. Jahrgang · 17. August 2016 · Seiten 265–300
8/2016
ISSN
0947
-301
7Bundesanzeige
rVerlag
GmbH.,Postfach10
0534
,504
45Köln
Postv
ertriebsstü
ck–Entge
ltbezahlt
–G13
772
HERAUSGEGEBEN IN VERBINDUNG MIT DEMEUROPÄISCHEN FORUM FÜR AUßENWIRTSCHAFT,
VERBRAUCHSTEUERN UND ZOLL E.V.
Außenwirtschaftliche Praxis – Zeitschrift für Außenwirtschaft in Recht und Praxis www.aw-portal.de
www.bundesanzeiger-verlag.de
Vertriebspartnerin Österreich:
Kitzler Verlag
Großbritannien nach demReferendum
Erwerb und Beteiligung an inlän-dischen Unternehmen durchausländische Investoren
Prozessumstellungen durchUZK
Die Korridore der Zukunft
Der handelspolitischeWarenursprung imUnionszollkodex
Zusätzliche Zollersparnissedurch erweiterte Nutzungvon Allgemeinen Präfe-renzsystemen
Zukunftsmarkt Asien –Länderreport Philippinen
ISSN 0947-301760 Seiten, A4, geheftet,Erscheinungsweise: monatlich Jahresabonnement: 291,30 €
Werden Sie jetzt AW-Prax-Abonnent!
Sichern Sie sich eine attraktive Prämie für ein Jahresabonnement oder testen Sie das 3 für 2 Kennenlern-Abo.
AW-PraxAußenwirtschaftliche PraxisZeitschrift für Außenwirtschaft in Recht und PraxisDer wirtschaftliche Erfolg eines Unternehmens hängt immer mehr davon ab, dassder grenzüberschreitende Warenverkehr schnell und reibungslos abgewickelt wird.In kaum einem anderen Bereich Ihres Unternehmens ändern sich Rechtsvorschriften schneller. Topaktuelle Informationen sind unerlässlich, um auf neue gesetzlicheVorgaben schnell reagieren zu können.Die AW-Prax bereitet das Außenwirtschafts- und Zollrecht kompetent und praxisnah auf, damit Sie jeden Tag wissen, welche Rechtsänderungen auf Sie zukommen und welche Konsequenzen daraus für Ihre tägliche Arbeit zu ziehen sind.Die Zeitschrift behandelt aktuell alle wichtigen Fragen des Außenwirtschaftsrechts schwer-punktmäßig für den Bedarf außenhandelsorientierter Unternehmen (Industrie, Handel, Dienst-leistungen). Kompetente Fachleute aus den verschiedensten Bereichen des Außenwirtschafts-rechts, aus Firmen, Verbänden, Ämtern und Industrie- und Handelskammern behandeln aktuelle Fragen und gesetzliche Vorgaben, informieren über anstehende Veränderungen, nehmen kritisch Stellung und vermitteln darüber hinaus berufspraktische Erfahrungen bei der Anwendung vorgeschriebener Verfahren und Formulare.
AUS DEM INHALT IHRE VORTEILE
Praktische Beilage für die Hausverteilung: Der „AW-Prax-Newsticker“ mit den aktuellen Nachrichten
Monatlich die wichtigsten Fakten und praxisnah aufbereitete Beiträge aus den Themengebieten
Praxisorientierte Beitragsserien zu komplexeren Themen Ihr Wissens-Vorsprung: Den Nachrichtenteil „AW-Prax Newsticker“ erhalten zusätzlich bequem per E-Mail
Praktiker aus Wirtschaft, Industrie und Verwaltung liefern solide Informationen und Hintergründe
Inklusive Nutzung des Online-Archives
Mit dem entscheidenden Mehrwissen für Außenhandels-Experten!
ShoppingBON Einkaufsgutschein
EuroEuro55555505050505005000
5555555000000000€€€€50
50
... und viele weitere Partner
ShoppingBON Einkaufsgutschein
EuroEuro55555505050505050000
5555555000000000€€€€50
50
... und viele weitere PartnerJetzt attraktive Prämie sichern!
24
Flughafensicherheit und ComplianceSecurity und Safety Compliance zwischen branchenübergreifenden Standards und individuellen Anforderungen im interdisziplinären Austausch der Linienfunktionen und Stabseinheiten.Die deutschen Flughäfen sind – neben den großen Hubs – im Wesentlichen eine mittelständisch geprägte
Branche mit hoher volkswirtschaft licher und regionalpolitischer Bedeutung. Über 20 internationale
Verkehrsfl ughäfen sind Teil der deutschen Flughafenlandschaft und gestalten so einen leistungsstarken
Luft verkehrsstandort Deutschland. Flughafenunternehmen sind strukturell und organisatorisch einer-
seits mit konventionellen Unternehmen vergleichbar und verfügen über etliche Fach- und Funktions-
bereiche, die nicht spezifi schen Besonderheiten der Luft fahrtbranche folgen, sondern in nahezu allen
Organisationen zu fi nden sind. Ergänzt werden diese Strukturen allerdings um spezielle Th emenfelder,
die es – zumal im Zusammenspiel mit zahlreichen Behörden und Institutionen auf Landes-, Bundes-,
EU-Ebene und international – in dieser Ausprägung nur an einem internationalen Verkehrsfl ughafen
gibt. Diese gehören zum eigentlichen Kernbereich einer Flughafenorganisation. Der nachfolgende Bei-
trag zeigt auf, dass bei der Security und Safety Compliance sowohl branchenübergreifende Standards
als auch branchenspezifi sche Ansätze zu berücksichtigen sind.
Security ComplianceBrennpunkt
Security Compliance Brennpunkt
Security und Safety Compliance
Für das Airport-Umfeld sind dies vor allem Sicher-
heitsthemen im weitesten Sinne. Unterschieden wird
dabei im Kern zwischen Security und Safety.
Klassische Unternehmenssicherheitreicht bis zum Schutz vor CyberattackenZunächst bleibt festzuhalten, dass sich die klassische
Unternehmenssicherheit (Security) – so das gene-
relle Verständnis – auch an einem Flughafen zum
einen mit dem physischen Schutz der Gebäude und
Standorte eines Unternehmens, der Mitarbeiter (z.B.
Schlüsselpersonen bzw. auch Reisesicherheit bei
Geschäft stätigkeit in potenziellen Krisenregionen)
und Geschäft spartner, den Schutz des Know-hows
und der IT-Infrastruktur des Unternehmens beschäf-
tigt, ggf. mit ganz unterschiedlicher Priorisierung. Ein
Bereich, der durch die immer dichter werdende globale
Vernetzung der Informations- und Kommunikations-
technologie in jeder Hinsicht an Dynamik gewinnt, ist
der Th emenkomplex der Cyberrisiken und -attacken.
Etliche Beispiele zeigen, dass solche Angriff e auch auf
verschiedene Sektoren der öff entlichen Daseinsvor-
sorge (im weitesten Sinne) zielen können.
foto
lia.c
om
Martin Stadelmaier
Der Autor ist Leiter der
Rechtsabteilung am
Airport Stuttgart. Als
strategischer Partner
berät seine Abteilung
die Führungsebenen
der Flughafen Stuttgart
GmbH und ist zugleich
zentrale Schnittstelle
im Rahmen des Com-
pliance Managements.
Er ist stellvertretender
Vorsitzender der Fach-
gruppe Compliance des
Bundesverbands der
Unternehmensjuristen
(BUJ) und Mitglied im
Normungsausschuss
Compliance-Manage-
ment-Systeme des
DIN e.V.
Standards sind nur die Basis für individuelle Compliance
Oder anders formuliert: Es gibt an einem Flugha-
fen (fast) nichts, was es nicht gibt. Demnach gilt die
gute alte Compliance-Regel, dass es keine „one size
fi ts all“-Lösung geben kann, insbesondere für die-
ses hochkomplexe Umfeld. Dabei muss Compliance
zwar nicht völlig neu gedacht werden, im Sinne eines
sehr ausgeprägten interdisziplinären Ansatzes ist
aber eine viel stärkere Verzahnung zwischen den
Linienfunktionen und den diversen nachgelagerten
Stabseinheiten erforderlich. In diesem Kontext sehen
sich die Flughafenbetreiber mit einer wachsenden
Zahl von Compliance-Anforderungen konfrontiert,
wobei in bestimmten Kernbereichen eine zuneh-
mende Standardisierung und damit verbundene
Regulierung erfolgt. Dabei wird deutlich, dass der
Compliance Scope – je nach Besonderheiten eines
Sektors – nicht klassischen Mustern folgen kann,
sondern stets individuell bestimmt werden muss.
Informationssicherheit/Schutz der IT-Infrastruktur vor
Cyberangriffen (ggf. mit Schnittstellen zum
Datenschutz)
ProduktsicherheitAnlagensicherheit
Allgemeine Betreiberverantwortung
www.comply-online.de comply. 3/201626
Brennpunkt
Schutz kritischer Infrastrukturen durch das IT-SicherheitsgesetzDer Gesetzgeber hat auf diese Entwicklung reagiert
und insbesondere mit dem IT-Sicherheitsgesetz
(2015) und den dazugehörigen Verordnungen (teil-
weise noch am Entstehen, bis voraussichtlich Anfang
2017) entsprechende Regelungen für Betreiber Kri-
tischer Infrastrukturen in verschiedenen Sektoren
geschaff en. Parallel zur Europäischen Cybersicher-
heitsstrategie hatte die Europäische Kommission
bereits in 2013 einen Richtlinienentwurf vorgestellt.
Ziel der vorgeschlagenen Richtlinie ist es, die Netz-
werk- und Informationssystemsicherheit (NIS) in der
EU zu verbessern. Die einzelnen EU-Mitgliedstaaten
sollen eine zentrale Stelle für NIS-Meldungen einrich-
ten. Die nationalen NIS-Meldestellen, die auf diesem
Weg Informationen erhalten haben, sollen diese an
die Unternehmen in ihren Zuständigkeitsbereichen
weitergeben. Reaktionen auf bzw. Maßnahmen gegen
NIS-Bedrohungen sollen durch die NIS-Behörden
und die ENISA (European Union Agency for Net-
work and Information Security) EU-weit koordiniert
werden.
Inwieweit diese Anforderungen die Flughäfen
insgesamt treff en werden – und damit die Frage, ob
Flughäfen egal welcher Größe immer als Kritische
Infrastruktur gelten – ist abhängig von der weiteren
Ausgestaltung des Verordnungsgebers. Es ist davon
auszugehen, dass zumindest die größten deutschen
Flughäfen tangiert sein werden.
Kernbereich ist die regulierte LuftsicherheitIm Kontext der Security (-Compliance) ist jedoch
eigentlicher Kernbereich die Luft sicherheit an Flug-
häfen, die durch eine Vielzahl an Regelwerken auf
EU- und Bundesebene reguliert wird. Mit dem Luft -
sicherheitsgesetz (Luft SiG) wurden z.B. im Wesentli-
chen alle Vorschrift en zum Schutz des Luft verkehrs
in einem nationalen Gesetz zusammengefasst. Zu den
EU-weit einheitlichen Sicherheitsmaßnahmen zählen
heute unter anderem die Personal- und Warenkont-
rollen, sowie die vollständige Kontrolle des aufgege-
benen Gepäcks.
Die Mitgliedstaaten wurden außerdem zur Erstel-
lung eines Nationalen Luft sicherheitsprogramms,
eines Nationalen Qualitätskontroll- und Schulungs-
programms sowie zur Durchführung umfassender
Audits im Hinblick auf die Einhaltung der Sicher-
heitsbestimmungen auf den Flughäfen verpfl ichtet.
Wesentliche Teile der Luft sicherheit sind nach wie
vor hoheitlich ausgestaltet, sodass an dieser Stelle
das Th ema der verschiedenen Schnittstellen zwi-
schen Flughafenbetreiber und Behörden große
Bedeutung hat. Ein Flughafenbetreiber muss den
gesamten Bereich der Security aus Compliance-Sicht
zuverlässig organisieren, soweit ihn als Betreiber
diesbezügliche Pfl ichten treff en.
Das Th emenfeld der „Security Compliance“ ist weit
und komplex. Für einen Flughafen jedoch ein wichti-
ger Erfolgsfaktor auch hinsichtlich des Business Con-
tinuity Managements.
Abbildung: Security und Safety Compliance
Security Compliance
„Klassische”Unternehmenssicherheit (Absicherung/Schutz von
Standorten, Werksgelände, Gebäuden, Personenschutz,
Reisesicherheit etc.)
Arbeits- und Gesundheitsschutz
(ggf. Umweltschutz)
speziell: Themenkomplex
Luftsicherheit
speziell: Sicherheit des
Flughafenbetriebs (ICAO, EASA)
Security Safety
© d
ream
er82
– fo
tolia
.c
27comply. 3/2016 www.comply-online.de
Brennpunkt
27comply. 3/2016 www.comply-online.de
„safety fi rst“
Die „Schwesterdisziplin“ der Security ist die „Safety“.
Safety meint neben klassischen Th emen wie Arbeits-
und Gesundheitsschutz bzw. die Anlagensicherheit
im Rahmen der allgemeinen Betreiberverantwor-
tung einer Organisation an dieser Stelle die (fl ug-)
betriebliche Sicherheit als zentrales Complian-
ce-Th ema mit höchster Priorität („safety fi rst“).
Im Fokus ist dabei vor allem die Sicherheit des
Flughafenbetriebs. Alle Faktoren, die die Sicherheit
beeinfl ussen können, werden dabei berücksichtigt,
seien sie infrastruktureller/technischer, organi-
satorischer Natur oder integriert in bestimmten
Verfahren oder Prozessen. Auch dieser Bereich ist
mittlerweile durch zahlreiche Regelwerke vor allem
auf europäischer Ebene reguliert worden. Dabei
kommt vor allem der EASA (European Aviation
Savety Agency) eine Schlüsselrolle bei der Umset-
zung zu, die seit einigen Jahren auch für die Flug-
häfen zuständig ist, wobei die nationalen Behörden
zunächst originär die Umsetzung organisieren bzw.
beaufsichtigen und wiederum nachgelagert von der
EASA überwacht werden. Die EASA verfolgt dabei
einen umfassenden Systemansatz, um die Safety an
Flughäfen letztlich europaweit zu harmonisieren
und sicherzustellen. Die Safety Compliance (man
spricht neuerdings auch von der EASA-Compli-
ance) ist damit der Th emenkomplex, der die wohl
meisten Schnittstellen aufweist, sowohl intern als
auch extern. Das macht das spezifi sche Compliance
Management in diesem Bereich zu einer sehr kom-
plexen Herausforderung.
FAZIT
Der kurze Streifzug durch einige Teilaspekte
der (Unternehmens-) Sicherheit an einem
Flughafen verdeutlicht, dass das Compli-
ance Management nicht lediglich die allseits
diskutierten Th emenfelder beinhaltet, son-
dern in der Regel weit darüber hinausgeht.
Letztlich werden im Sinne der Rechtspre-
chung sämtliche Compliance-Pfl ichten, die
sich aus ganz unterschiedlichen Richtungen
sowohl extern als auch intern ergeben kön-
nen, in einem Unternehmen zuverlässig
zu organisieren sein, sodass ein zu enger
Compliance-Ansatz nicht zielführend ist.
Die Frage ist aber, welche konkrete Rolle
dabei der Compliance-Funktion – ggf. im
Rahmen von bereits bestehenden sonstigen
Zuständigkeiten – zukommt bzw. welche
Th emen unternehmensintern überhaupt
unter dem „Label“ Compliance diskutiert
oder in der Compliance-Organisation (im
engeren Sinne) verortet werden. Die Band-
breite der organisatorischen Ausgestal-
tungsmöglichkeiten ist groß. Ein „richtig“
und „falsch“ gibt es nicht. Die nüchterne
Einhaltung der bestehenden Pfl ichten ist
zunächst Sache der Linienfunktionen, was
eine konsequente Delegation im Betrieb
voraussetzt. Egal ob man dies nun „Com-
pliance“ nennt oder nicht. Auch einzelnen
spezifi schen Beauft ragten kann dabei eine
bestimmte (Compliance-) Teilverantwor-
tung zukommen. Man denke z.B. an das
Th ema Datenschutz (den Datenschutzbeauf-
tragten) oder andere typische Beauft ragte
in Unternehmen (Informationssicherheit,
Produktsicherheit, Umwelt, Qualität,
Arbeitsschutz oder spezielle branchenspe-
zifi sche Funktionen nach EASA etc.). Am
Beispiel der doch bisweilen sehr umfassen-
den Sicherheitsthemen – gerade im Airport-
umfeld – zeigt sich, dass dabei vor allem
die verschiedenen Schnittstellen zuverlässig
organisiert werden müssen. In diesem Sinne
kann ein interdisziplinärer Ansatz durch-
aus zielführend sein, zum Beispiel durch
die Einrichtung von übergreifend besetzten
Gremien oder Teams und/oder ein fachlich
breit aufgestelltes Compliance Board mit
entsprechenden Koordinierungsaufgaben.
Security Compliance
Informationssicherheit im Unternehmen IT-Grundschutz adressiert mit neuen Angeboten verstärkt KMU
Erpressungsversuche mit Ransomware, Ausspähung durch APT-Angriff e, infi zierte Webseiten oder ein
Server, der plötzlich ausfällt: Die Bedrohungslage für die Informationssicherheit von Unternehmen und
Behörden gestaltet sich heute vielfältig. Um Geschäft sprozesse mittels IT und über das Internet sicher
betreiben zu können und damit auch langfristig wettbewerbsfähig zu sein, müssen Unternehmen sich
zunehmend besser zu Fragen der IT- und Informationssicherheit aufstellen.
© A
skol
d Ro
man
ov –
isto
ckph
oto.
com
29comply. 3/2016 www.comply-online.de
Brennpunkt
Die „Bausteine“ sind aktueller und übersichtlicher
Elementarer Bestandteil der IT-Grundschutz-
Methodik sind die Bausteine. Sie enthalten künft ig
die wichtigsten Anforderungen an eine bestimmte
Th ematik – zum Beispiel WLAN-Betrieb, mobile
Datenträger o.Ä. – auf maximal zehn Seiten. Kon-
krete Umsetzungsempfehlungen werden je nach
Th ema zielgruppengerecht und ergänzend veröff ent-
licht. So benötigt ein Sicherheitsbeauft ragter in der
Regel kein umfangreiches Wissen darüber, wie die
Anforderungen im Detail umgesetzt werden können.
Das BSI kann in Zukunft dadurch zeitnäher Bausteine
zu aktuellen Entwicklungen veröff entlichen und die
Anwender sparen mit den modernisierten Bausteinen
Zeit und Ressourcen. Und auch ihre Expertise ist stär-
ker gefragt: In einem neuen Veröff entlichungsprozess
werden neue Bausteine künft ig als sogenannte Com-
munity Draft s auf der IT-Grundschutz-Webseite zur
Kommentierung zur Verfügung gestellt. Mit dem
Input aus der Praxis können die Inhalte bis zum
fertigen Baustein noch weiter optimiert werden. Die
ersten Community Draft s, u.a. zu Server-, Client- und
Personal-Sicherheit sind bereits zur Kommentierung
veröff entlicht.1
Je nach Anforderungen auswählbare Vorgehensweisen und modulare Profi le
Eine weitere Neuerung besteht in der veränderten
Ausrichtung der Vorgehensweisen. Institutionen
können künft ig zwischen drei unterschiedlichen Vor-
gehensweisen auswählen:
IT-Grundschutz leistet wichtigen Beitrag zur Informationssicherheit
Das Bundesamt für Sicherheit in der Informationstech-
nik (BSI) bietet dazu bereits seit rund zwanzig Jahren
einen pragmatischen Weg zur Feststellung des individu-
ellen Schutzbedarfs im Bereich IT- und Informationssi-
cherheit an. Sicherheitsverantwortliche können mit den
unterschiedlichen Angeboten der IT-Grundschutz-Me-
thodik einen wichtigen Beitrag zur Erhöhung des
Niveaus der Informationssicherheit in ihrer Institution
leisten. Der pragmatische Ansatz des IT-Grundschutzes
zeichnet sich dadurch aus, dass die kontinuierlich wei-
terentwickelte Informations- und Methodensammlung
Gefährdungsklassen für unterschiedliche Systeme und
Anwendungen je nach Einsatzgebiet betrachtet. Doch
der IT-Grundschutz ist in einem dynamischen Span-
nungsfeld verortet, das den Ansatz vor immer neue An-
und Herausforderungen stellt.
Rasante Innovationszyklen und zuneh-mende Komplexität erfordern organisier-tes Vorgehen gegen Cyber-Angriffe
Die Entwicklungen in der Informationstechnik
erfolgen heute in immer kürzer werdenden Innova-
tionszyklen. Zugleich zeichnen sich die technischen
Systeme durch eine steigende Komplexität aus. In
immer mehr Bereichen des öff entlichen sowie des
Geschäft slebens wächst die Abhängigkeit von funk-
tionierender Technik. Die Vernetzung und Steue-
rung von Industrieanlagen, Smart Home, Internet of
Th ings und Connected Cars werden Sicherheitsex-
perten und Anwender in den kommenden Jahren vor
weitere Herausforderungen stellen. Und das Manage-
ment von Institutionen muss sich inzwischen zuneh-
mend mit der Frage befassen, welche Auswirkungen
ein Cyber-Angriff mit sich bringen kann. Neben der
eigenen Institution können auch Kunden, Lieferanten
und Geschäft spartner sowie weitere Gruppen betrof-
fen sein. Daher ist ein geplantes und organisiertes
Vorgehen aller Beteiligten notwendig, um ein ange-
messenes und ausreichendes Sicherheitsniveau aufzu-
bauen und aufrechterhalten zu können.
Neue Ausrichtung auf mehr Praxisbezug und Effi zienz
Die IT-Grundschutz-Methodik ist aufgrund dieser Ent-
wicklungen sowie der Rückmeldung aus der Commu-
nity, dass das Standardwerk inzwischen zu umfangreich
und detailliert geworden sei, einer Runderneuerung
unterzogen worden. Unter Beteiligung der engagierten
IT-Grundschutzanwenderschaft arbeitet das BSI daran,
in Zukunft ein umfassendes Standardwerk bereitzu-
stellen, das zugleich eine vereinfachte Handhabbarkeit
ermöglicht: Der IT-Grundschutz soll aktueller, pra-
xisnäher und schneller werden. Diese übergeordneten
Ziele werden künft ig besonders in den Kern-Angeboten
umgesetzt, damit IT-Security-Verantwortliche ihre Auf-
gaben – die Absicherung von (digitalen) Informationen
und Systemen – noch effi zienter wahrnehmen können.
Isabel Münch
Die Autorin leitet das
Referat IT-Grundschutz
beim BSI.
Security Compliance
Abbildung 1: Kernaspekte des modernisierten Grundschutzes
Bausteine
Profi le
Vorgehens-weise
Profi le
Kernaspekte der Modernisierung
„Modernisierung” IT-Grundschutz
30
Brennpunkt
www.comply-online.de comply. 3/2016
Bedürfnisse anpassen und anschließend und für wei-
tere interessierte Nutzer veröffentlichen können. Im
nächsten Schritt liefern die IT-Grundschutz-Profile
die Grundlage, um branchenspezifische Sicher-
heitsstandards entwickeln und stetig fortschreiben
zu können. Neben der Weitergabe von Know-how
können sich Unternehmen mit denselben Sicher-
heitsthemen vernetzen und gegenseitig von den
Erfahrungen anderer Institutionen profitieren.
KMU im Fokus
Die neuen Angebote des IT-Grundschutzes können
künftig von Institutionen jeder Größenordnung zur
Absicherung ihrer Informationsverbünde genutzt
werden. Neben Behörden und größeren Wirtschafts-
unternehmen sollen auch kleine und mittelständische
Unternehmen besser mit den IT-Grundschutzmaß-
nahmen arbeiten können. Aufgrund fehlender
personeller wie finanzieller Ressourcen sind KMU
zum Thema Informationssicherheit häufig noch
schlechter aufgestellt als größere Institutionen und
benötigen daher Herangehensweisen, die schnell
zu ersten Ergebnissen führen. Außerdem wurden
im IT-Grundschutz als Themen Automatisierungs-,
Prozesssteuerungs- und Prozessleitsysteme (Indus-
trial Control Systems, ICS) aufgenommen sowie die
Aspekte Detektion und Reaktion. Ob es sich um Ran-
somware, einen APT-Angriff oder einen Server-Aus-
fall handelt – IT-Grundschutz-Anwender sind im
Ernstfall gut aufgestellt. Und im Idealfall kommt es
dank eines gut aufgesetzten Prozesses zur Informati-
onssicherheit gar nicht soweit.
Basis-Absicherung für den schnellen Einstieg in ein SicherheitsmanagementBei der Basis-Absicherung handelt es sich um eine
grundlegende Absicherung der Geschäftsprozesse
und Ressourcen einer Institution. Sie ermöglicht
einen ersten Einstieg in ein Sicherheitsmanagement,
um schnellstmöglich die größten Risiken zu sen-
ken. Im nächsten Schritt können die tatsächlichen
Sicherheitsanforderungen im Detail analysiert wer-
den. Diese Vorgehensweise ist daher besonders für
kleine und mittelständische Unternehmen (KMU)
geeignet.
Kern-Absicherung nimmt elementare Geschäftsprozesse und Ressourcen in den FokusDie Kern-Absicherung dient als weitere Einstiegsvor-
gehensweise dem Schutz der elementarsten Geschäfts-
prozesse und Ressourcen. Die Kern-Absicherung
unterscheidet sich vom klassischen IT-Grundschutz
durch die Fokussierung auf einen kleinen, aber sehr
wichtigen Teil eines Informationsverbundes.
Standard-Absicherung für hohen SchutzbedarfDie dritte und vom BSI präferierte Standard-Absi-
cherung entspricht in den Grundzügen der Vorge-
hensweise nach dem aktuellen IT-Grundschutz nach
BSI-Standard 100-2.
IT-Grundschutz-Profile als Grundlage für branchenspezifische SicherheitsstandardsEine weitere Neuheit stellen die sogenannten
IT-Grundschutz-Profile dar. Mit ihnen stellt das
BSI ein flexibles Angebot bereit, mit dem Anwen-
dergruppen den IT-Grundschutz an ihre konkreten
Security Compliance
Abbildung 2: Stufen der Absicherung
Vorgehen Überblick
Standardabsicherung
Schutzbedarfnormal
Basisabsicherung
Kern
absi
cher
ung
31comply. 3/2016 www.comply-online.de
1 https://www.bsi.bund.de/DE/Th emen/
ITGrundschutz/IT-Grundschutz-
Modernisierung/GS_Draft s/gs_draft s_
node.html
FAZIT
Mit der IT-Grundschutz-Methodik setzen
Sicherheitsverantwortliche auf ein erprobtes
und bewährtes System, das nach der generel-
len Modernisierung noch besser in einer Ins-
titution anwendbar und realisierbar sein wird:
Aktuellere Informationen, eine schnellere
Bereitstellung und noch mehr Praxiswissen in
allen IT-Grundschutz-Angeboten unterstüt-
zen den Anwender dabei, Zeit und Ressourcen
zu sparen. Mit dem ganzheitlichen Ansatz
können Institutionen jeder Größenordnung
für ihre individuellen Sicherheitsanforderun-
gen ein Standard-Sicherheitsniveau aufb auen,
um geschäft lich relevante Informationen zu
schützen. Die neu aufgestellten Angebote
adressieren künft ig noch mehr KMU sowie
Industrieunternehmen, die mit industriellen
Steuerungsanlagen arbeiten. Ein bewährtes
Konzept um neue und aktuelle Inhalte ange-
reichert: Der IT-Grundschutz des BSI leistet
damit einen wichtigen Beitrag zur Erhöhung
des Sicherheitsniveaus aller Institutionen in
Deutschland.
BrennpunktSecurity Compliance
Unternehmen und Wirtschaft
Bestellung und Beratung: Tel. 0221/ 9 76 68-291/-315
Fax 0221/9 76 68-271 · in jeder Fachbuchhandlung
shop.bundesanzeiger-verlag.de/915-3Jetzt versandkostenfrei (deutschlandweit) bestellen:
www.bundesanzeiger-verlag.de
IHRE VORTEILE
Vereinfacht erheblich den arbeitsintensiven Prozess der Erstellung eines IT-Sicherheitskonzeptes; komplexe Analysen entfallen
Identifizieren Sie einfach die Sicherheitsdefizite durch einen Abgleich des Soll- und Ist-Zustandes
Ermitteln Sie schnell die passenden Sicherheitsmaßnahmen
Hält Sie mit Ergänzungen und Aktualisierungen nach Vorgabe des BSI auf dem aktuellen Stand
Unternehmen und Wirtschaft
IT-Grundschutz-KatalogeStandardwerk zur IT-Sicherheit
PR
AX
IS
WI
SS
EN
PR
OF
ES
SI
ON
AL
S
Nutzen auch Sie das Standardwerk des BSI!
IT-Grundschutz-KatalogeStandardwerk zur IT-SicherheitDie IT-Grundschutz-Kataloge empfehlen auf der Basis bekannter Gefahren und Schwachstellen Maßnahmenbündel für typische IT-Konfigurationen, Umfeld- und Organisationsbedingungen.
ISBN 978-3-88784-915-3Loseblattwerk, ca. 5100 Seiten, Format 21 × 29,7 cm, 152,– € Das Loseblattwerk wird bei Bedarf aktualisiert. Der Preis der Ergänzungs-lieferungen richtet sich nach deren Umfang.
inkl. MwSt. und Versandkosten(deutschlandweit)
32
red teamWarum Angriff die bessere Verteidigung ist!
„Angriff ist die beste Verteidigung“ – so sagt man. Unternehmen die von Hackern angegriff en werden
hilft diese Aussage nicht. Sie stellen die Frage: Wer sollte angegriff en werden und mit welchen Mit-
teln? Die fehlende Zulässigkeit eines – präventiven oder reaktiven – Cyber-Angriff s steht ohnehin nicht
in Frage. Dennoch können Unternehmen aus Angriff en – simuliert und ausgeführt durch ein eigens
beauft ragtes „red team“ – lernen. Dieser Artikel beschreibt, wie ein etabliertes militärisches Verfahren
hilft , mögliche Auswirkungen von Cyber-Angriff en besser zu verstehen und so die eigene Sicherheit zu
verbessern.
Kriegsspiele als Vorbild
Vom preußischen General und Militärstrategen Carl
von Clausewitz stammt das Bild vom „Nebel des Krie-
ges“. Er beschreibt damit die Unsicherheit, die Planen
und Handeln im Krieg ständig begleiten. Keine der bei-
den Gegner kann den Krieg nach Plan führen, sondern
muss immer die Reaktion der gegnerischen Seite mit
einbeziehen.
Strategie im Militär ist die Kunst eigene Ziele gegen-
über einem Gegner durchzusetzen, der denkt, agiert und
reagiert, einem Gegner, der nicht nur seine eigenen Ziele
erreichen will, sondern seine Gegner wiederum von der
Durchsetzung ihrer Ziele abhalten will. Ein Gegner, der
dazu, wenn erforderlich und angebracht, militärische
Gewalt anwendet.
Wetter, das Gelände, fehlende oder falsche Informa-
tionen, Probleme in der Versorgung, Verlagerung
und Wirkung der eingesetzten Truppen, all dies hatte
unkalkulierbare Auswirkungen auf den Erfolg eines
ursprünglichen Plans.
Clausewitz beschrieb diese Unwägbarkeiten als
Friktionen; das, was den wirklichen Krieg von dem auf
dem Papier unterscheidet. Mit dem Ziel diese Unwäg-
barkeiten zu beherrschen wurden in der Ausbildung
preußischer Offi ziere Planspiele eingesetzt. Historisch
bedeutend ist das „taktische Kriegsspiel“ des Barons von
Reißwitz. Der ursprüngliche Apparat, im Schloss Char-
lotteburg zu besichtigen, war ein Brettspiel bestehend aus
Terrainsteinen und Spielmarken mit dem, basierend auf
33comply. 3/2016 www.comply-online.de
Brennpunkt
Knut Schönfelder
Der Autor ist Berater
mit langjähriger Erfah-
rung in der Erstellung
und Überprüfung von
Sicherheitsstrategien.
Er war zuvor 16 Jahre
Offi zier der Bundes-
wehr mit Führungs-
verwendungen als
Kampfschwimmer.
Security Compliance
einem detaillierten Regelwerk, Schlachtverläufe simu-
liert wurden. Zwei Parteien mussten, Zug um Zug, ihre
Operationspläne durchsetzen. Jeder Zug hatte in exakt
zwei Minuten zu erfolgen, angelehnt an die Dauer eines
Artilleriefeuers. Neben der Entscheidung zum Einsatz
der eigenen Truppen wurde der Verlauf des Gefechtes
durch Würfelspiel, stellvertretend für die unkalkulier-
baren Friktionen, bestimmt.
Vom Schlachtfeld in den Informationsraum – Cyber Security
Ein Vergleich der physischen Bedrohung auf den
Schlachtfeldern des 19. Jahrhunderts mit der digita-
len Bedrohung im Cyberspace des 21. Jahrhunderts
erscheint weit hergeholt. Im ersten Fall wurde der
Einsatz militärischer Gewalt durch einen politischen
Zweck legitimiert, im Zweiten erfolgt der Einsatz von
schadhaft em Code mit kriminellem Motiv. Gleich-
wohl kennzeichnet beide Situationen eine Konfronta-
tion von zwei Parteien mit gegensätzlichen Absichten
in der eine der beiden Parteien die Off ensive ergreift .
Der strategische Vorteil des AngreifersClausewitz sah die Verteidigung als die stärkere Form
der Kriegsführung. Im Cyberspace verhält es sich
genau umgekehrt: Der Angreifer hat einen strategi-
schen Vorteil. Dieser Vorteil fußt auf drei spezifi schen
Eigenschaft en:
Der Einsatz von red teams
In den westlichen Streitkräft en des 21. Jahrhunderts
ist die ursprüngliche Methodik des Kriegsspiels, heute
zumeist als „war gaming“ bezeichnet, zum integralen
Bestandteil des Planungsprozesses geworden. Mili-
tärische Stäbe nutzen dazu eigens aufgestellte Teams,
sogenannte „red teams“, mit dem Auft rag aus der Per-
spektive eines Gegners mögliche Reaktionen auf die
Umsetzung der eigenen Operationspläne darzustellen.
Unbekannte Schwachstellen und Auswirkungen aufdeckenAngesichts der dargestellten Herausforderung
„Cyber Security“, bietet sich der Einsatz eines red
teams auch für zivile Unternehmen an. Der Einsatz
folgt dabei grundsätzlich dem militärischen Ansatz:
Aus der Analyse des Wechselspiels zwischen Angrei-
fer und Angegriff enem werden mögliche Auswir-
kungen eines Cyber-Angriff s abgeleitet. Das red
team nimmt dazu die Perspektive eines potentiellen
Angreifers ein und konfrontiert ein Unternehmen
(in der Nomenklatur der Militärs: das blue team)
Schritt für Schritt mit dem Vorgehen bei einem
möglichen Angriff . Das angegriff ene Unternehmen
bewertet die Situation und reagiert entsprechend auf
den Angreifer. Es gilt der Grundsatz: Jede Reaktion
des Angegriff enen beeinfl usst die folgende Aktion
des Angreifers und umgekehrt. Durch diese fortge-
setzte Interaktion beider Seiten werden bisher unbe-
kannte oder unbedachte Schwachstellen und die
unerwünschten Auswirkungen eines erfolgreichen
Cyber-Angriff s deutlich.
Cyber-Risikomanagement
Im Risikomanagement gilt: Die Risikobeurteilung
ist Grundlage der Risikobehandlung. Unternehmen
können nur den Risiken begegnen, die sie identifi ziert
und deren Auswirkungen sie analysiert haben.
Grundlagen des Risikomanagements verbessernBei Bedrohungen die von kreativ handelnden
Akteuren ausgehen, greift die klassische Formel der
Risikobewertung (Risiko = Schadenshöhe x Ein-
trittswahrscheinlichkeit) zu kurz. Das Risiko eines
Feuers im Rechenzentrum ist durch Rückgriff auf
Erfahrungswerte zu bemessen. Wie aber berechnet
man Auswirkung und Erfolgswahrscheinlichkeit eines
„zero-day exploits“ (ein Angriff , der eine bisher unbe-
kannte Schwachstelle ausnutzt)?
Die Erkenntnisse aus dem Einsatz eines red teams,
so wie oben beschrieben, können als Grundlage für ein
angemessenes Management von Cyber-Risiken dienen,
also die Entscheidung welche Risiken akzeptiert, durch
entsprechende Maßnahmen minimiert, vermieden oder
transferiert werden sollen. Im Gegensatz zu einer stati-
schen Analyse von Cyber-Risiken ermöglicht der Einsatz
eines red teams eine greifb are Darstellung von Schwach-
stellen und möglichen Schäden eines Angriff s. Für alle
Beteiligten führt dies unmittelbar zu einem verbesserten
Bewusstsein für die Gefahren von Cyber-Angriff en.
Cyber-Angriffe lassen sich automatisieren. Ein Angreifer kann ohne großen Aufwand einen
Angriff auf beliebig viele Ziele ausführen und wird irgendwann eine Schwachstelle fi nden. Der Angegriffene muss hingegen dauerhaft alle ver-schiedenen Angriffe auf ihn abwehren um einen
Schaden zu vermeiden.
1
Cyber-Angriffe erfolgen aus der Deckung. Räumliche Distanz spielt bei Angriffen im Cyber-
space keine Rolle. Der Angreifer hat nur eine geringe Gefahr entdeckt zu werden und selbst
wenn ein Angriff bemerkt wird, bleibt die Attribu-tion, d.h. die eindeutige Zuordnung eines Angriffs zu einem Angreifer technisch und juristisch kaum
zu gewährleisten.
2
Cyber-Angriffe sind einfach verfügbar. Das Internet ermöglicht eine einfache und ano-
nyme Verbreitung erfolgreicher Angriffsmethoden und -mittel. Gleichzeitig steigt die Anzahl von
Schadprogrammen, die auch von weniger profes-sionellen Anwendern bedient werden können.
3
34
Brennpunkt
www.comply-online.de comply. 3/2016
Den Einsatz auf den Bedarf des Unternehmens ausrichtenAngriff des red teams und Gegenmaßnahmen des blue
teams sind eine Simulation. Die Schäden, die im Laufe
der Konfrontation entstehen, bleiben fi ktive Schäden.
Eine Erkenntnis, die über Aussagen zu Effi zienz und
Implikationen der simulierten Angriff e hinaus geht,
entsteht erst im Rückschluss von den Auswirkungen
auf die Ursachen und eingesetzen Mittel.
Je nachdem, wie intensiv ein Unternehmen sich
bereits mit Cyber Security auseinandergesetzt hat,
variiert die Zielsetzung beim Einsatz eines red teams.
In Unternehmen, die bisher kein systematisches
Management von Cyber-Risiken betreiben, liegt das
Augenmerk zunächst auf der Identifi kation des eigenen
Schutzbedarfs und der Gefährdung. Unternehmen, die
bereits ein Information Security Management System
implementiert haben, überprüfen mit einem red team
regelmäßig die bestehenden Sicherheitsmaßnahmen
und identifi zieren weiteren Handlungsbedarf.
Durch die Verlagerung der Risikobewertung auf
einen unabhängigen Dritten wirken Unternehmen
zudem systematischen Fehlern in der Analyse und
Bewertung von Risiken entgegen. Menschen bewer-
ten z.B. das Risiko eines Schadensereignisses für sich
selber nachweisbar niedriger, als für andere Personen.
Dieses Phänomen wird als „optimism bias“ bezeichnet.
Die organisatorische Trennung von Risikobewertung
und Risikobehandlung wirkt diesem Eff ekt einer syste-
matischen Unterbewertung von Risiken entgegen.
Fehler beim Einsatz eines red teams vermeidenUm zu einem etablierten Werkzeug im Bereich Cyber
Security zu werden, sollte ein red team aber mehr
bieten als nur „Belehrung und angenehme Unterhal-
tung“ (so eine Kritik des preußischen Generalstab-
schefs an Vorläufern des taktischen Kriegsspiels). Der
große Vorteil eines red teams, die Auswirkungen von
Angriff en zu veranschaulichen, birgt dabei gleichzei-
tig eine große Gefahr.
Security Compliance
FAZIT
Führungsgremien in Unternehmen haben eine
unabweisbare Verantwortung für ein angemes-
senes Risikomanagement (z.B. gem. § 91 Abs. 2
AktG). Der klassische Ansatz, Risiken zu quan-
tifi zieren, versagt bei Cyber-Bedrohungen, die
maßgeblich von denkenden und handelnden
Angreifern ausgehen.
Abhilfe verspricht die Nutzung eines red
teams, ein etabliertes militärisches Verfahren.
Die Verlagerung der Risikoanalyse auf ein
solches red team, vor allem aber die interak-
tive und konfrontative Simulation möglicher
Angriff e, ermöglicht eine qualitative Analyse
von Bedrohungen und möglichen Schäden.
Der Fokus liegt nicht mehr auf der Einschät-
zung: Wie wahrscheinlich ist ein Angriff ,
sondern auf der Frage: Was passiert im Ver-
lauf eines Angriff s? Die Erkenntnisse bilden
eine verbesserte Entscheidungsgrundlage für
die angemessene Behandlung identifi zierter
Cyber-Risiken. Neben technischen, prozessua-
len und organisatorischen Gegenmaßnahmen
zur Beseitigung von Risiken kann das verblei-
bende Risiko über eine spezielle Cyber-Police
transferiert werden. So dient der simulierte
Angriff der besseren Verteidigung gegen reale
Bedrohungen.
“If you think technology can solve
your security problems, then you don t
understand the problems and you don t
understand the technology.”
Bruce Schneier
Cyber-Angriffe zielen auf die Informationstechnik eines Unternehmens. Der Angriff geht aber immer
von Menschen – mit zerstörerischer oder krimi-neller Absicht – aus. Beide Seiten, Angreifer und
Angegriffener, beeinfl ussen durch ihr Handeln den Schaden eines Angriffs. Angreifer nutzen bewusst soziale Beziehungen für Angriffe aus. Diese Taktik
ist als social engineering bekannt. Mitarbeiter eines angegriffenen Unternehmens sind somit
eine bevorzugte Schwachstelle.
1. Fokus auf Darstellung möglicher AngriffeDie bloße Simulation ausgewählter Angriffe auf
die der Angegriffene dann unmittelbar (und unvorbereitet) reagieren muss, ohne dass seine Reaktion wesentlich Einfl uss auf den weiteren
Verlauf der Simulation hätte, greift zu kurz. Derartige Simulationen bleiben eine (für den
Angegriffenen frustrierende) Demonstration des bereits oben dargestellten strategischen Vorteils
des Angreifers.
!
2. Fokus auf GegenmaßnahmenGenauso falsch ist eine Konzentration auf eine Besei-tigung der neu identifi zierten Schwachstellen. Diese Maßnahme ist richtig und angemessen, garantiert
aber keine nachhaltige Sicherheit. Letztlich wird jede geschlossene Schwachstelle den denkenden und handelnden Angreifer nur zur Suche einer neuen
Schwachstelle motivieren. Entsprechend bemerkte der bereits zitierte Security Experte Bruce Schneier:
Cyber Security ist ein Prozess, kein Produkt.
!
35comply. 3/2016 www.comply-online.dewww.tokiomarinekiln.com/de
Ertragsausfallversicherungen: “Damit Sie im Geschäft bleiben!”
TAKERS
CYBER ProTEC
RISK
36 www.comply-online.de comply. 3/2016
Organisationspfl ichten im Rahmen eines Compliance Management SystemsWie Führungsorgane einer Gesellschaft durch Compliance Management Haftungsrisiken durch Organisationsverschulden vermeiden können.
Die Pfl icht zur ordnungsgemäßen Organisation eines Betriebes obliegt der Geschäft sleitung sowie deren
Führungskräft en. Hierzu gehört die sorgfältige Organisation der betrieblichen Abläufe. Fehlt die ord-
nungsgemäße Organisation kann der organisationsbedingte Fehler eines Arbeitnehmers der Geschäft s-
führung angelastet werden.1 Dies wird als Legalitätspfl icht bezeichnet. Die Geschäft sführung hat also
grundsätzlich organisatorische Maßnahmen so zu treff en, dass hierdurch Rechtmäßigkeit des Handelns
in und durch die Gesellschaft gegeben ist. Versäumt eine Geschäft sführung dies in nachlässiger Weise,
kann sich eine Haft ung wegen der Verletzung von Organisationspfl ichten oder wegen Nichterfüllung
rechtlicher Anforderungen in Verbindung mit organisatorischen Maßnahmen ergeben. Dies bezeichnet
man als Organisationsverschulden. Das Vorliegen eines Organisationsverschuldens kann zivil-, ord-
nungs- und sogar strafrechtliche Konsequenzen nach sich ziehen. Mit Compliance Management kann
die Geschäft sführung ihren Ordnungspfl ichten nachkommen und so Haft ungsrisiken vermeiden. Um
welche Ordnungspfl ichten es dabei konkret geht, zeigt der nachfolgende Beitrag.
37comply. 3/2016 www.comply-online.de
Legalitätspfl icht erfasst alle erforder-lichen und zumutbaren Maßnahmen
Die Organisationspfl icht für die Führungsorgane
einer Gesellschaft ergibt sich für den Vorstand einer
AG aus § 76 Abs. 1 AktG, für den Geschäft sführer
einer GmbH aus §§ 6 Abs. 1, 35 Abs. 1 GmbHG. Die
konkrete Pfl icht zur ordnungsgemäßen Führung der
Geschäft e folgt aus § 43 Abs. 1 GmbHG i.V.m. § 93
Abs. 1 Satz 1 AktG. Bei Verstoß gegen die erforder-
lichen Organisations- und Aufsichtspfl ichten drohen
hohe Bußgelder nach dem Ordnungswidrigkeiten-
gesetz (bis zu 1 Mio. €) gegen die verantwortliche
Geschäft sleitung bzw. beauft ragten Mitarbeiter oder
das Unternehmen selbst. Nach einer aktuellen Ent-
scheidung des OVG Berlin-Brandenburg kommt
bei Organisationsmängeln auch der Erlass einer
ordnungsrechtlichen Untersagungsverfügung in
Betracht. Die Geschäft sführung muss alle erfor-
derlichen und zumutbaren Maßnahmen treff en, um
Zuwiderhandlungen durch Angestellte oder Beauf-
tragte zu verhindern.2 Dies gilt z.B. für den Fall,
dass verantwortliche Führungskräft e nicht mit dem
erforderlichen Nachdruck auf die Kontrolle der han-
delnden Mitarbeiter hingewiesen wurden. Unabhän-
gig von zivil-, ordnungs- oder strafrechtlichen Folgen
haben Vorstände und Geschäft sführer folgende
Organisationspfl ichten:
Geschäftsleitung hat Gesamtverantwortung für die Organisation
Nach § 91 Abs. 2 AktG hat der Vorstand geeignete
Maßnahmen zu treff en, insbesondere ein Überwa-
chungssystem einzurichten, um Entwicklungen, die
den Fortbestand der Gesellschaft gefährden, früh
erkennen zu können. Für Aktiengesellschaft en gilt
das Gesetz unmittelbar. Für andere Unternehmens-
formen gilt die Organisationsverpfl ichtung entweder
ebenfalls direkt nach dem KonTraG oder über die
Ausstrahlungswirkung des unbestimmten Rechtsbe-
griff s „Sorgfalt eines ordentlichen Kaufmanns“. Die
Gesamtverantwortung für die Organisation bezieht
sich nicht nur auf den Grad der Zielerreichung wie
beispielsweise den Geschäft serfolg, sondern auch auf
die Früherkennung und Minimierung von möglichen
rechtlichen Risiken für den Betrieb. Dies erfordert ein
systematisches Vorgehen, einen kontinuierlichen und
zielgerichteten Organisationsprozess. Es ist Aufgabe
der Geschäft sführung diesen Prozess zu initiieren, zu
steuern und zu kontrollieren.
Ressortverantwortung ersetzt nicht die GesamtverantwortungBesteht die Geschäft sführung aus mehreren
Geschäft sführern oder Vorständen, so haben sie ein
ressortverantwortliches Mitglied der Geschäft sfüh-
rung zu benennen.3 Dieses ist verantwortlich dafür,
eine geeignete Organisationsstruktur aufzubauen,
um die verschiedenen Teilaufgaben adäquat zu
steuern. Die Gesamtverantwortung der gesamten
Geschäft sführung bleibt hiervon unberührt.
Die zunehmenden Anforderungen der Stakeholder an
das Risikomanagement, Erwartungen der Kunden und
Gesellschaft an die betriebliche Transparenz und die
Komplexität des nationalen und internationalen Rechts
stellen die Geschäft sführungen vor große logistische
Herausforderungen. Soft waregestützte Compliance-
Content-Lösungen können hier eine wertvolle Hil-
festellung bieten. Die Diskussion um die Digitalisie-
rung der Produktion um Industrie 4.0 erfasst somit
auch die Compliance-Prozesse.
Risikomanagementsystem ist gesetzliche Pfl icht
Aus § 91 Abs. 2 AktG ergibt sich die gesetzliche Pfl icht
für den Aufb au eines Frühwarn- und Risikomanage-
mentsystems. Das setzt voraus, dass im Rahmen einer
Bestandsaufnahme alle Risikofelder und potenzielle
Compliance-Risiken identifi ziert werden. Compli-
ance-Risiken können von verwendeten, hergestellten
oder in Verkehr gebrachten Produkten, Anlagen oder
den im Unternehmen handelnden Personen ausgehen.
Bei der Bewertung der tatsächlichen Compliance-
Risiken sind die Risiken von Rechtsverstößen und
ihre Auswirkungen sowohl einzeln als auch in ihrem
Zusammenwirken zu analysieren. Grundsätzlich liegt
bei Verstoß gegen eine verwaltungsrechtliche Vor-
schrift eine Ordnungswidrigkeit vor. Wenn auch nicht
unmittelbar ein Bußgeld folgt, kann der Verstoß unab-
hängig davon zivil- oder strafrechtliche Folgen haben.
Die Geschäft sführung sollte über mögliche Risiken
und Konsequenzen aufgeklärt sein und bestehende
Risiken durch eingeleitete, steuernde Maßnahmen
reduzieren oder eliminieren. Ein kombiniertes, bes-
tenfalls soft waregestütztes, Risiko-/Maßnahmenma-
nagementsystem kann hier unterstützen, welches die
Umsetzung von risikobasierten Maßnahmen zuver-
lässig überwacht.
Leitungs- und Ausführungsverantwortung sorgfältig delegieren
Aus Garantenstellung zum Schutz fremder Güter
erwächst das allgemeine Gebot für Geschäft sführer
und andere Organe, die innerbetrieblichen Abläufe
so zu organisieren, dass Schädigungen Dritter ver-
mieden werden. Entsprechend der vorhandenen
Risiken benennt die Geschäftsleitung die zustän-
digen Mitarbeiter und stattet sie mit den erfor-
derlichen Kompetenzen und Ressourcen aus. Zu
diesem Zweck sind nicht nur die nachgeordneten
Mitarbeiter sorgfältig auszuwählen, sondern diese
auch in dem gebotenen Umfang zu instruieren und
die sorgfältige Ausführung der übertragenen Tätig-
keiten zu überwachen.4 Diese Mitarbeiter tragen als
Delegierte der Geschäft sführung die abgeleitete Ver-
antwortung, den gesamten Betrieb oder Teile davon
zu leiten.5
Dip. Ing. Martin Mantz
Der Autor ist
Geschäft sführer der
Martin Mantz GmbH,
Compliance Solutions.
Der Ingenieur und Jurist
ist seit 1994 Auditor und
Berater für verschiedene
Managementsysteme,
seit dem Jahr 2000 mit
dem Schwerpunkt im
Aufb au von Compliance-
Managementsystemen.
EssentialsBasics
38 www.comply-online.de comply. 3/2016
Vier Kernelemente sichern die Übertagung von Unternehmerpfl ichtenEin Fehler in der Delegation führt regelmäßig zum
Organisationsverschulden. Das betriebliche Organi-
sationsverschulden wurde von der Rechtsprechung
als Unterfall der unerlaubten Handlung nach § 823
Abs. 1 BGB entwickelt. Hiernach haft et die Unter-
nehmensleitung, wenn sie versäumt hat, allgemeine
organisatorische Anordnungen zu treff en. Die „Über-
tragung von Unternehmerpfl ichten“ soll ein Organi-
sationsverschulden vermeiden. Es beinhaltet in der
Regel vier Kernelemente:
Diese Unternehmerpfl ichten stellen Unternehmen
mit schnellem Wachstum und mit den damit ver-
bundenen Neueinstellungen, Fluktuation der Füh-
rungskräft e und Mitarbeiter, organisatorischen
Umstrukturierungen oder komplizierten Organisa-
tionsformen (z.B. Matrixorganisation) vor besondere
Herausforderungen. In der Praxis führen diese He-
rausforderungen regelmäßig zu Delegationsdefi ziten.
Im Zeitdruck werden die Delegationsschreiben bzw.
die „Übertragung von Unternehmerpfl ichten“ ver-
nachlässigt und entsprechen damit nicht dem aktuel-
len Stand. Auch hier helfen den neuen Anforderungen
entsprechende Compliance-Management-Systeme.
Sie zeigen eine mangelhaft e Umsetzung von Delega-
tionspfl ichten an. Sie machen transparent, in welcher
Funktion oder bei welcher rechtlichen Pfl icht Umset-
zungsdefi zite vorhanden sind.
Innerbetriebliche Organisation transparent machen
Der schnelle Wandel und die große Flexibilität von
Organisationen macht ein hohes Maß an Transparenz
erforderlich. Als Konsequenz aus aktuellen Recht-
sprechungen sind Unternehmen gut beraten, ihre
Organisation auf Transparenz und die sorgfältige
Dokumentation und auf ihre tatsächliche Anwen-
dung hin zu prüfen OLG Rostock · Urteil vom 8. Juli
2011 · Az. 5 U 174/10
Der Aufbau einer transparenten Organisation erfordert:
! Die Formulierung von klaren und eindeutigen Arbeitslabläufen und Zuständigkeiten.
! Das schnelle und sichere Erkennen von Defi ziten in der Compliance-Organisation bzw. Aufdecken von Rechtsverstößen.
! Die aktive Beteiligung der Führungskräfte und Mitarbeiter an diesen Prozessen.
! Das Stärken des Verantwortungs-bewusstseins aller Führungskräfte und Mitarbeiter („robuste“ Compliance-Kultur).
Die Transparenz in der Organisationsstruktur steigert die Motivation der Mitarbeiter. Denn interne Entscheidungsprozesse werden so transparenter und nachvollziehbar. Der Einsatz geeigneter Compliance-Management-Systeme bzw. deren Digitalisierung leistet dabei wert-volle Unterstützung.
Fortlaufendes Überwachungssystem oder Internes Überwachungssystem (IKS) sicherstellen
Aus § 91 Abs. 2 AktG folgt die Pfl icht ein präventi-
ves Frühwarn- und ein Überwachungssystem ein-
zurichten. Zur Überwachung gehört ein laufender
Überblick über die Einhaltung der einschlägigen
Rechtsvorschrift en. Der aktuelle Rechtsstatus ist
laufend von der Geschäft sführung zu beobachten
oder von entsprechenden Mitarbeitern aus der Com-
pliance-Abteilung, Internen Revision, Betriebsbe-
auft ragten, Fachkräft en für Arbeitssicherheit etc.
auszuwerten. Die genannten Kontrollfunktionen im
Unternehmen unterstützen die Geschäft sführungen
bei der Erfüllung ihrer gesetzlichen Kontroll- und
Überwachungspfl icht.
Essentials Basics
Auswahlverantwortung: Ein Unternehmen bzw. deren Führungskräfte dürfen die Verantwortung nur an geeignete
Mitarbeiter delegieren;
Ein- und Anweisungsverantwortung: Die Führungskräfte müssen den
Mitarbeitern richtige, aktuelle und vollständige Arbeitsanweisungen zur Verfügung stellen;
Überwachungsverantwortung: Die Geschäftsführung und Führungskräfte
müssen gemäß Risikobewertung angemessene Kontrollen durchführen;
Ausreichende Ressourcen: Den delegierten Mitarbeitern müssen zur
Umsetzung ihrer Aufgaben die erforderlichen zeitlichen, fi nanziellen oder sonstigen Ressourcen
zur Verfügung gestellt werden.
1
2
3
4
39comply. 3/2016 www.comply-online.de
FAZIT
Die Anforderungen an die organisatorische
und persönliche Verantwortung an die Vor-
stände und Geschäft sführung hat die Recht-
sprechung weiterentwickelt und verschärft .
Die Führung einer Organisation ist für die
Einhaltung aller unmittelbar und mittelbar
geltenden rechtlichen Pfl ichten (mit-)ver-
antwortlich. Im Zuge der Digitalisierung
wird die zukunft sorientierte Organisations-
entwicklung auf professionelle, soft ware-
gestützte Compliance-Expertensysteme
zugreifen müssen. Nur so lässt sich der
Umfang der rechtlichen Pfl ichten zuverläs-
sig und transparent organisieren.
EssentialsBasics
1 LG München I · Urteil vom 10.12.2013 ·
Az. 5HK O 1387/10, 5HK O 1387/10 – Neubürger-Urteil
2 Siehe OVG Berlin, Urteil v. 17.3.2016; AZ 7 B 24.15.
3 Vgl. z.B. § 52b BImSchG.
4 Vgl. Wagner in Münchener Kommentar, RN 370 zu § 823
BGB m. N.
5 Vgl. § 9 OWiG.
Häufi gste Gründe für die Nichteinhaltung einschlä-
giger rechtlicher Pfl ichten sind deren vollständige
Unkenntnis oder komplizierte bzw. unverständliche
Vermittlung. Die verantwortlichen Mitarbeiter haben
daher zunehmend ein großes Bedürfnis nach einfachen
Informationen über ihre aktuelle Verantwortlichkeit
und den daraus resultierenden Handlungspfl ichten.
Auch diese Aufgaben übernehmen zunehmend soft -
waregestützte Compliance-Expertensysteme.
Unternehmen und Wirtschaft
www.betrifft-unternehmen.de/boardTelefonische Bestellung: 0221/9 76 68-291 · E-Mail: [email protected]: 0221/9 76 68-271
Zeitschrift für Aufsichtsräte in Deutschland
dARArb
eitskreis deutscher Aufsichts
rat
e.V
.
ISSN 2192-211XErscheinungsweise: 2-monatlich,jeweils zur Mitte eines geraden Monats, 36 Seiten, Format A4, geheftet,Jahresabonnement 248,80 €
40 www.comply-online.de comply. 3/2016
Jobangebote im Bereich Compliance zielgerichtet prüfenDer Arbeitsmarkt für Compliance-Mitarbeiter ist so attraktiv wie nie. Doch wie fi ndet man die wirklich interessanten Positionen und kann schon im Auswahlprozess die Qualität und Seriosität der Stellenangebote richtig bewerten?
Sie planen sich berufl ich zu verändern. Bei der Suche nach einer geeigneten Position im Bereich von
Compliance stoßen Sie im derzeitigen Marktumfeld schnell auf eine Fülle von – auf den ersten Blick
– attraktiven Angeboten. Dennoch ist jedes Stellenangebot sorgfältig zu prüfen, um die möglichst pas-
sende Stelle zu fi nden. Außerdem entpuppt sich nicht selten ein Stellenangebot als Mogelpackung. Der
vorliegende Beitrag zeigt auf, welche Hinweise und Andeutungen Bewerber in der Ausschreibung prüfen
sollten. Dadurch können unliebsame Überraschungen vermieden sowie knappe Ressourcen für Bewer-
bungen auf ungeeignete Stellen geschont werden.
© a
nton
iokh
r – is
tock
phot
o.co
m
41comply. 3/2016 www.comply-online.de
Kriterium Bewertung
Welche Position ist ausgeschrieben?
Üblicherweise werden die BegriffeCompliance-Manager (Einstiegsposition mit 1-2-jähriger Erfahrung)(Senior) Compliance-Offi cer (mehrjährige Erfahrung) oderChief/Group Compliance Offi cer (Leitungsfunktion mit rd. 10-jähriger Erfahrung
verwendet.
Größe des Unter-nehmens und (vermutete) Größe der Compliance-Abteilung
Unternehmen mit weniger als 2.000 bis 3.000 Mitarbeitern verfügen meistens nur über einen Compliance-Beauftragten, welcher in der Regel zugleich auch der Chief/Group Compliance Offi cer ist. Diese Stellenangebote richten sich fast immer an Generalisten.Hellhörig sollte man werden, wenn Unternehmen mit 5.000 bis 10.000 oder mehr Mitarbeitern einen „one-man show“ Compliance Offi cer suchen. Eine angemessenes CMS lässt sich so nicht aufbauen bzw. aufrechterhalten. Derartige Positionen werden schnell zum Schleudersitz wenn es brenzlig wird.
Außendarstellung des Unterneh-mens zum Thema Compliance
Je offensiver das Unternehmen mit Informationen zum Thema Compliance umgeht, umso besser ist es. Finden Sie auch in sonstigen Quellen keine Ansprechpartner o.Ä. deutet dies eher auf eine Alibi-Compliance-Stelle („Feigenblatt“) im Unternehmen hin.Bei einem Compliance-Fall wird dann nicht selten der Compliance-Verantwortliche für den Verstoß verantwortlich gemacht.
Risikosituation des Unternehmens beurteilen
Verfügt das Unternehmen z.B. über einen hohen Anteil an Staatsgeschäft oder Geschäft mit Ländern mit einem hohen Korruptionsindex (CPI) sollte die Compliance-Organisation eine angemessene Größe aufweisen bzw. als solche innerhalb, aber auch außerhalb des Unternehmens sichtbarer sein.
Tipp:Bei dieser Gelegenheit gleich Gedanken machen, welcher Art die Compliance-Verstöße in dem konkreten Unternehmen sein könnten (in der Regel immer Kor-ruption, Kartell u.a.). Diese Frage wird übrigens mit sehr hoher Wahrscheinlichkeit auch im Vorstellungsgespräch gestellt werden.
Am Anfang steht die Selbsteinschätzung…
Ohne eine Standortbestimmung ist keine zielgerich-
tete Bewerbung möglich. Dies erfordert die eigene
derzeitige Qualifi kation und berufl iche Erfahrung
mit der nötigen Selbstkritik gut einzuschätzen. Erst
dann kann beurteilt werden, welche nächsten Kar-
riereschritte sinnvoll und realistisch möglich sind.
Hierzu zählt, wie viele Jahre bereits operative Erfah-
rung im Compliance-Bereich gesammelt wurde, ob
man bisher eher eine Funktion als Spezialist oder
Generalist innegehabt hat, ob ein berufl icher Wechsel
auf gleicher Ebene (aber in ein anderes Unternehmen
oder in eine andere Branche) oder eine karrieremä-
ßige Weiterentwicklung (Team-/Abteilungsleitung
bzw. Chief/Group Compliance Offi cer) angestrebt
wird. Erfahrungsgemäß sind Sprünge vom Compli-
ance-Manager oder Spezialisten in einer größeren
Einheit zum Chief/Group Compliance Offi cer mit
Leitungsfunktion eher die Ausnahme.
Nicht suchen sondern fi nden!
Im Zeitalter der
Online-Stellenmarkts
ist es heute nur noch
eine Frage von Minuten
eine Fülle von Jobangebo-
ten zu fi nden (z.B. online-
Job-Portale wie Monster oder
Stepstone, Compliance-Arbeits-
markt Newsletter, Jobportale bei
Verbänden, Printmedien). Schwieri-
ger ist es, die nun gefundenen Angebote
zu bewerten.
Kriterien für die Bewertung des StellenangebotsBei einer Analyse der Stellenanzeige bzw. der Home-
page des Unternehmens und ggf. weiterer Quellen
(z.B. Karriereportale, Geschäft sbericht) sind folgende
Kriterien zu prüfen:
Torsten Krumbach
Der Autor ist
Compliance Offi cer
bei der Bosch Sicher-
heitssysteme GmbH.
EssentialsSoftskills
42 www.comply-online.de comply. 3/2016
Gibt es frühere oder aktuelle Entwicklungen zum Thema Com-pliance in dem Unternehmen?
Untersuchungen, Korruptionsvorwürfe oder Kartellverstöße aus der jüngeren Vergangenheit erfordern häufig den raschen Auf- und Ausbau des Compliance- Bereichs und erleichtern die Stellensuche.Allerdings werden diese Personalkapazitäten mittelfristig auch wieder zurückgefah-ren und gehen mit einem Stellenabbau bzw. einer Verlagerung von Stellen (z.B. in die Revision oder Rechtsabteilung) einher. Bei der Annahme einer solchen Position daher rechtzeitig an den nächsten Karriereschritt denken.
Name des Chief/Group Compliance Officers (z.B. xing/LinkedIn etc.)?
Der Name des Chief/Group Compliance Officers sollte üblicherweise im Netz zu finden sein. Ist er präsent, z.B. bei Veranstaltungen, Kongressen kann man sich ein Bild von ihm und seinen Schwerpunktthemen machen.Evtl. gibt es sogar Verbindungen zu Mitarbeitern der Compliance-Organisation über Dritte. Dann bietet sich eine Bewerbung über interne Kanäle an (teilweise bekommen Mitarbeitern hierfür Prämien wenn über eine Empfehlung die Stelle besetzt wird).
Hierarchische Einbindung der Position?
Ist in der Stellenanzeige vermerkt, an wen die zu besetzende Position berichtet? Bei einer leitenden Funktion sollte dies in der Regel der Vorstand/GF sein. Berichts-wege an den Leiter Recht, Revision o.Ä. deuten auf eine organisatorische Einbindung von Compliance in diese Bereiche ein. Dies führt in der Praxis nicht selten zu Kompe-tenz- und Abgrenzungsschwierigkeiten und beeinträchtigt die anzustrebende Unab-hängigkeit und Neutralität der Compliance-Funktion.
Aufgaben-/Tätig-keitsbeschreibung
Stimmt die zu besetzende Funktion (z.B. Leiter Compliance) mit der üblicherweise zu erwartenden Tätigkeitsbeschreibung überein (hier: Leitung des Compliance- Teams, (strategische) Weiterentwicklung des CMS, regelmäßiger Bericht an Vorstand/GF bzw. Aufsichtsgremium (Beirat/Aufsichtsrat)?Werden hingegen eher speziellere Tätigkeiten erwähnt (z.B. Mitarbeit in einem Team für Schulungen, Untersuchungen o.Ä.) wäre dies eine Position für einen Compliance-Manager/Officer.Daher auf Diskrepanzen zwischen Titel und Tätigkeitsbeschreibung achten!
Allgemeine aktu-elle wirtschaftli-che Situation des Unternehmens
Gibt es Anzeichen oder Informationen über eine Unruhe im Unternehmen, z.B. schlechte Unternehmenszahlen, ein häufigerer Wechsel in der Geschäftsführung (welcher häufig auch die Leitung des Compliancebereichs erfasst)?In einem solchen Umfeld angebotene Stellen können sich schnell verändern.
Erwartete Qualifikation/Profil
Die gesuchte Fachrichtung steht in einem direkten Zusammenhang damit, ob ein Generalist oder ein Spezialist gesucht wird.Bei einer juristischen oder wirtschaftlichen Qualifikation ist eher ein Generalist gesucht (der sich dann aber durchaus spezialisieren kann bzw. spezialisiert haben sollte). Kommunikations-, IT- oder sozialwissenschaftliche Ausbildungen deuten eher auf eine Funktion als Spezialist hin.
Zusatzquali- fikationen
Werden in der Stellenanzeige Zusatzqualifikationen, wie bestimmte Weiterbildungen oder Sprach-/DV-Kenntnisse verlangt, sind diese zwar wichtig aber häufig nicht essenziell. Sie können aber den Ausschlag für oder gegen eine Bewerbung geben, wenn ansonsten die erwartete Qualifikation des Bewerbers gleich gut ist(siehe auch: Schärfung des Profils).
Dotierung der Stelle
Zwar werden nach wie vor in der Regel keine Gehaltsrahmen in den Stellenanzeigen genannt. Zusätzliche genannte und angebotene betriebliche Leistungen (z.B. Firmenwagen, Altersversorgung, variable Vergütung etc.) deuten aber auf eine höhere Position bis hin zur Leitung des Compliancebereichs hin.
Essentials Softskills
43comply. 3/2016 www.comply-online.de
Schärfung des Profi ls als Compliance Offi cer
Unabhängig von der Bewerbung auf ein konkretes
Stellenangebot, lässt sich das persönliche Profi l mit
relativ einfachen Mitteln schärfen um die Erfolgs-
aussichten einer Bewerbung zu erhöhen. Diese Mittel
wirken natürlich nicht kurzfristig sondern sind eher
in dem Kontext zu sehen, sich dauerhaft eine „Nasen-
länge“ Vorsprung vor der Konkurrenz zu sichern.
EssentialsSoftskills
FAZIT
Auch eine aktuell hohe Anzahl von Stellenan-
geboten im Bereich Compliance sollte nicht
den Blick dafür trüben, dass es zweifelhaft e
Stellenausschreibungen gibt.
Dies kann bedeuten, dass für ein großes
Unternehmen eine unangemessen kleine
bzw. unzureichend ausgestattete Compliance-
Organisation gesucht wird. Oder das für ein
Unternehmen mit erkennbaren Complian-
ce-Risiken lediglich eine Art Feigenblatt-/
Alibi-Organisation geschaff en werden soll,
welche im Unternehmen keine Wirkung ent-
falten kann (und soll). Auch auff allend nied-
rige (oder zu umfassende) Anforderungen
an die zu besetzende Stelle und fragwürde
Berichtswege bzw. organisatorische Einbet-
tungen in die Unternehmensorganisation
sollten einen aufh orchen lassen. Mit dem
nötigen Fingerspitzengefühl können qualifi -
zierte Compliance-Kräft e jedoch diese Ange-
bote identifi zieren und kritisch hinterfragen.
Spätestens im Vorstellungsgespräch sollten
die zuvor angesprochenen Punkte umfassend
geklärt werden.
Checkliste Profi lschärfeCompliance Offi cer
Die Formulierung von klaren und eindeutigen Arbeitslabläufen und Zuständigkeiten.
Kontakte zu anderen Compliance-Kolle-gen (aller Hierarchiestufen) pfl egen. Ziel sollte sein, ein eigenes tragfähiges Netz-werk aufzubauen und dieses kontinuier-lich zu pfl egen. Gelegentlich können über dieses Netzwerk auch offene Stellen vermittelt werden, dies sollte jedoch nicht der Hauptgrund sein.
Durch die Mitgliedschaft und noch wichti-ger: Mitarbeit(!) in Verbänden/Netzwerken lassen sich vielfältige Kontakte knüpfen und Informationen über aktuelle Trends und Entwicklungen austauschen. Dies wird häufi g ergänzt durch angebotene Compli-ance-Stammtische/Roundtables, welche ebenfalls genutzt werden können.
Größere Rechtsanwaltskanzleien bieten häufi g – teilweise regionale – regel-mäßige und in der Regel kostenlose (Mandanten-)Veranstaltungen an (z.B. „Compliance Day“, „Compliance zum Frühstück“ etc.). Diese können auf den Veranstaltungsseiten der Kanzleien gefunden werden und bieten einen perfekten Rahmen zum Networking.
Natürlich sollten auch Weiterbildungsange-bote geprüft und in Betracht gezogen werden. Ein kritischer Vergleich der ver-schiedenen Anbieter hinsichtlich des zeitli-chen Umfangs bzw. der Dauer (ein-/mehrtägig oder berufsbegleitend), der Reputation und Historie des Anbieters (seit wann wird diese Weiterbildung angebo-ten) und der Referenten (bekannte Persön-lichkeiten aus namhaften Unternehmen) und natürlich der Kosten hilft. Im Zweifel die Meinung von ehemaligen Absolventen/Alumni über deren Erfahrung mit der geplanten Weiterbildung einholen.
Immer hilfreich ist es, sich neben der Grundqualifi kation im Bereich Compli-ance einen fachlichen Schwerpunkt zu suchen, für den ein besonderes Interesse besteht. Bei einer ausreichenden Qualifi -kation kann dieser fachliche Schwerpunkt auch dazu genutzt werden, Vorträge zu diesem Thema zu halten oder Veröffent-lichungen zu platzieren. Dies trägt wie-derum zur Sichtbarkeit in der Compliance-Community bei.
Grundsätzlich gilt, je höher die ange-strebte Position hierarchisch angesiedelt ist, desto mehr treten spezielle Fähigkei-ten hinter einer grundsätzlichen Fähigkeit zur Organisation und Weiterentwicklung des CMS zurück. Durchsetzungs-, Team- und Führungskompetenz gewinnen dann ebenfalls sehr stark an Bedeutung.
44 www.comply-online.de comply. 3/2016
Compliance-Kommunikation in vier SchrittenNach dem Must-Transfer-Value Prinzip
Kommunikation ist national wie international ein fester Bestandteil maßgebender Compliance-Stan-
dards. Vor allem die Anforderungen von ISO 19600 umfassen sowohl die Bestimmung des Kommuni-
kationsbedarfs in Bezug auf das CMS durch das Unternehmen,1 als auch den Einsatz von „geeigneten
Methoden, um sicherzustellen, dass die Compliance-Botschaft von allen Beschäft igten jederzeit gehört
und verstanden wird.“2 Auch der Prüfungsstandard IDW PS 980 macht die Kommunikation zum festen
Bestandteil eines CMS.3 Die Standards geben gegenüber den Grundsätzen von Flexibilität und Ver-
hältnismäßigkeit keine konkreten Maßnahmen vor; sie machen aber eines unmissverständlich klar: Ein
wirksames CMS endet nicht mit der Aufstellung von Regeln und Prozessen, sondern vermittelt diese
auch eff ektiv, um ihre Befolgung tatsächlich zu gewährleisten. Compliance-Kommunikation ist so vor
allem nach Innen gerichtet, also mitarbeiterorientiert. Doch wie kann das in der Praxis funktionieren?
45comply. 3/2016 www.comply-online.de
Grundlagen der Compliance-Kommunikation
Compliance in Organisationen hat besondere Cha-
rakteristika. Sie zu verstehen ist für die Kommunika-
tionsarbeit unerlässlich. Zwei wesentliche Merkmale
umschreiben die Ausgangslage wie folgt:
Die Compliance-Position: Ein CMS steht
zwischen den ökonomischen Strukturen des
Unternehmens und der Mitarbeiterschaft , die in
ihnen arbeitet. Das System ist Mittler zwischen
rechtlich-betriebswirtschaft lichen Erfordernis-
sen und den menschlichen Entscheidungen.
Die Compliance-Herausforderung: Zwischen
Regelausgabe und Regeleinhaltung steht der
Mensch mit seinen Werten, Überzeugungen und
Beweggründen als letztlich entscheidender Fak-
tor. Regeltreue kann somit nicht ausschließlich
technisch-formal sichergestellt werden, sondern
immer nur durch menschliche Kooperation.
Aus der besonderen Position und Herausforderung
der Compliance-Funktion ergibt sich ein Leitprinzip
für die Kommunikationsarbeit eines CMS.
Das Must-Transfer-Value Prinzip Die drei Elemente des Prinzips
lassen sich wie folgt beschreiben:
MUST
Compliance-Kommunikation ist notwendig.
Standards und die besonderen Charakteristika der
Compliance machen Kommunikationsarbeit unum-
gänglich. Die mitarbeiterorientierte Compliance-
Kommunikation ist Teil eines wirksamen CMS.
TRANSFER
Compliance-Kommunikation braucht
Transferleistungen.
Die relevanten juristisch-betriebswirtschaft lichen
Erfordernisse des Unternehmens müssen in die
menschliche Werte- und Verständniswelt
übertragen und vermittelt werden.
VALUE Compliance-Kommunikation braucht einen Wert.
Um von der Mitarbeiterschaft verstanden und
angenommen zu werden, muss Compliance Sinn
und Wert im menschlichen Kontext einnehmen.
Alexander Freiesleben
Der Autor ist auf
die Entwicklung von
Kommunikation und
Kultur von Compliance
spezialisiert. Er studierte
Betriebswirtschaft in
Göttingen und Friedens-
und Konfl iktforschung
in Bradford, UK, und
war im internationalen
Business Development
mit den Schwerpunkten
Kommunikation und
Marketing tätig.
EssentialsSoftskills
Transferleistung*durch CMS
Rücktransfer*durch MITARBEITER
* VERSTÄNDNIS
* DIALOG
* ZUSTÄNDIGKEIT
* WERT
SENDER
1
RÜCKBINDUNG
4
BOTSCHAFT
2
EMPFÄNGER
3
PRINZIP: MUST – TRANSFER – VALUE
46 www.comply-online.de comply. 3/2016
Essentials Softskills
Kommunikation in vier Schritten
Auf der Basis des Must-Transfer-Value Prinzips geben
vier Grundschritte Anleitung für die mitarbeiterorien-
tierte Kommunikation, die eine Compliance-bewusste
wie überzeugte Mitarbeiterschaft zum Ziel hat. Das
Modell stellt wichtige Teilziele und praktikable Wege
dar, wie Kommunikation effektiv in ein CMS integ-
riert und durchgeführt werden kann. In den ersten
drei Schritten setzt das CMS mit Transferleistungen
an den Kommunikationselementen Sender, Botschaft
und Empfänger an, um seine Inhalte vermittelbar zu
machen.4 Mit dem vierten Schritt, der Rückbindung,
wird die Zuständigkeit in der Mitarbeiterschaft akti-
viert. Es kommt zum Rücktransfer der kommunizier-
ten Compliance-Inhalte durch die Mitarbeiter selbst.
Die Grundschritte können sowohl sukzessiv zum
stimmigen Gesamtaufbau der Compliance-Kommuni-
kation durchgangen als auch einzeln angewandt wer-
den, um punktuell anzusetzen.
1. SENDER
Ziel: Schaffung einer wertegeleiteten Compliance.
Transferleistung: Das CMS als der Sender im
Kommunikationsprozess gibt sich und seiner
Mission einen Gemein-Wert, der sowohl für
den betriebswirtschaftlichen wie auch für den
menschlichen Teil des Unternehmens sinnvoll und
achtenswert ist.
Weg: Selbstklärung und Selbstbestimmung. Die
Compliance-Abteilung widmet sich intern der Ant-
wort auf die Frage, was die Unternehmens-Com-
pliance von sich auf welche Art wissen lassen will.
Hierfür wird der sonst vordergründige recht-
lich-wirtschaftliche Hintergrund von Compliance
zunächst verlassen und sich explizit dem Sinn
und Wert von Compliance aus dem menschlichen
Blickwinkel zugewandt. An dieser Stelle ist der
persönliche Zugang der Wirksamste: Denken Com-
pliance-Verantwortliche ihre Compliance-Mission
persönlich und im eigenen Wertebild ist das für die
Wertfindung als auch für die Kommunikationsakti-
vität sehr vorteilhaft. Produkt dieses Prozesses ist ein
menschlich sinntragender und achtbarer Wert, der
ebenso mit dem betriebswirtschaftlichen Auftrag
von Compliance in Einklang steht. Ein CMS und
seine Verantwortlichen werden so zum engagier-
ten Vertreter eines menschlich wichtigen Wertes.
Beispiel: Rechtschaffenheit. Eine Compliance-
Abteilung müht sich um Rechtschaffenheit, so wie
es die meisten Mitarbeiter selbst auch tun und wie es
gleichermaßen die betriebswirtschaftliche Seite des
Unternehmens als notwendig erachtet.
2. BOTSCHAFT
Ziel: Überzeugende Compliance-Inhalte.
Transferleistung: Verständlichkeit. Das CMS
produziert verständliche und annehmbare
Botschaften.
Weg: Jegliche Kommunikationsaktivitäten der
Compliance – Verhaltensrichtlinien wie Informa-
tionsschreiben, Prozessanweisungen, Ansprachen,
aber auch unterlassene und verständnishemmende
Kommunikation – sind Botschaften für die Mit-
arbeiterschaft. Die Botschaft wird auch als Code
bezeichnet: Der Sender codiert einen Inhalt, der
von dem Empfänger gemäß seines Verständnis-
ses dekodiert wird. Missverstehen entsteht an
eben dieser Stelle und in der Erarbeitung über-
zeugend-verständlicher Compliance-Botschaften
liegt eine weitere Transferleistung des CMS. Ver-
ständlichkeit kann auf mehreren Ebenen erzeugt
werden:
Beweggrund: Eine wertgeleitete Compliance stellt
gegenüber der Mitarbeiterschaft immer wieder
den Bezug zu den guten Beweggründen ihrer
Maßnahmen her und schafft so ein gemeinsames
Sinnverständnis. Die bloße Listung von Appellen
in juristischer Terminologie kann nur schwer das
menschliche Werteempfinden erreichen. Kann der
Sinn und Wert der Compliance-Arbeit nicht auch
gesamtpersönlich wahrgenommen werden, blei-
ben häufig nur ihre Forderungen, nicht aber ihr
Wert im Bewusstsein.
Sprache: Ausdrucksweise und Klarheit. Compli-
ance-Verantwortliche müssen einen überzeugen-
den Sprachgebrauch entwickeln: Wortlaute und
ihre Bedeutung sollten das allgemeine Verständ-
nis treffen und dem mitarbeitenden Menschen im
wahrsten Wortsinn entsprechen. Es müssen Ein-
drücke entstehen, was beispielsweise mit „ethisch
einwandfrei“, „Regelkonformität“ oder „einschlä-
gigen Rechtsvorschriften“ wirklich gemeint ist und
wie Compliance-Prozesse persönlich unterstützt
werden können. Das schafft nicht nur Verständ-
nis, sondern auch ein Sicherheitsgefühl in der
Mitarbeiterschaft gegenüber der sonst auch kon-
trollierenden und sanktionierenden Compliance.
Anhaltspunkte beim Formulieren eingängiger
Botschaften geben das persönliche Gefallen und
die Wiedererzählbarkeit der Botschaft: Klingt die
Botschaft selbst auch persönlich für den Kommu-
nizierenden gut und kann ihr Inhalt problemlos
vom Lehrling an den CEO wiedergegeben werden,
ist der richtige Weg eingeschlagen. Amtsdeutsch
47comply. 3/2016 www.comply-online.de
EssentialsSoftskills
1 Vgl. Ziff . 7.4.1 ISO 19600.
2 Vgl. Ziff . 7.4.2 ISO 19600.
3 Vgl. hierzu Ziff . 4.19 IDW EPS 980.
4 Nach dem Sender-Empfänger-Modell von Shannon und
Weaver (1949). Th e mathematical theory of communication.
University of Illinoi Press, Urbana Champaign.
5 Löffl er, H. (2016). Germanistische Soziolinguistik.
Erich Schmidt Verlag, S. 115.
FAZIT
Compliance-Kommunikation ist Teil führen-
der Standards und gehört zu den Grundvo-
raussetzungen wirksamer Compliance-Arbeit.
Die Konsequenz: Ein Compliance-Manage-
ment-System benötigt auch eine systematische
Kommunikation. Es gilt seinen Wert gegenüber
der Mitarbeiterschaft begreifb ar zu machen und
seine Inhalte verständlich zu vermitteln. In der
Praxis kann Kommunikation oft individueller
ausgestaltet werden als viele technische Lösun-
gen; umso wichtiger sind ein grundlegendes
Verständnis und konkrete Punkte, an denen die
eigene Kommunikationsarbeit ansetzen kann.
und gängige Wortpaarungen treten hier schnell
vor treffl ichen Formulierungen und prägnanten Sät-
zen zurück. Auch grafi sche Aufb ereitungen und Bil-
der machen Botschaft en lebendig.
Kollegialität: Compliance-Botschaft en brauchen
„Persönlichkeit“. Die besondere Pfl icht und Ver-
antwortung zu Gesetz und Regel schließt einen
jovial-kollegialen Umgang in Wort und Schrift
nicht aus. Besonders für die Compliance-Abtei-
lung gilt es zu zeigen, dass man kein Kontrollraum
mit Aushang, sondern eine verständliche mensch-
lich-bemannte Abteilung ist. Man ist Kollege und
Mitglied derselben Unternehmensgemeinschaft
und kann sich ebenso zu verstehen geben, um auch
so wahrgenommen zu werden.
3. Empfänger
Ziel: Kontakt zu Mitarbeitern und ihrer
Wahrnehmung.
Transferleistung: Persönlicher Dialog. Austau-
schende Begegnungen zwischen Compliance-
Verantwortlichen und Mitarbeiterschaft .
Weg: Know your business, know your people. Wie
Compliance das Unternehmensgeschäft , seine Pro-
zesse und Risiken kennen muss, so gilt dasselbe
gegenüber den Mitarbeitern und ihrer Wahrneh-
mung. Durch persönlichen Kontakt können sowohl
wirkliche Einblicke gewonnen als auch richtige
Eindrücke vermittelt werden. In weniger offi ziösen
Gesprächen kann in verschiedenen Unternehmens-
bereichen erfahren werden, wie über Compliance,
ihre Bedeutung und ihre Aktivitäten gedacht wird.
Das drückt sich oft durch Soziolekte, berufsbe-
dingten Gruppensprache, aus.5 Hier sollte es wenig
überraschen, dass von Kosenamen, über Anekdoten
oder Wortspiele bis hin zu Zynismen vieles zur Spra-
che kommen kann. Wichtig ist, dass Compliance
Chancen bekommt, eben das auch wahrzunehmen.
Dazu kann die Compliance-Abteilung in der Mit-
arbeiterschaft Gesicht zeigen. Vor allem aus einem
wertegeleiteten Compliance-Bewusstsein heraus
kann Compliance-Personal als kollegialer Vertreter
eines geteilten Wertes off enere Gesprächssituationen
initiieren. Persönliche Mitarbeitergespräche können
mit einzelnen Mitgliedern aller Abteilungen geführt
werden. Eine systematische Interviewsituation ist
weniger förderlich. Eine off ene Notiz an die Mitar-
beiter nach der Art „Wundern Sie sich nicht, wenn
wir mal eine Tasse Kaff ee trinken wollen“, belässt
Raum für kollegialere Zusammenkünft e.
4. Rückbindung
Ziel: Mitarbeiter zuständig machen.
Rücktransfer: Aktivierung der Mitarbeiter als
Vermittler des CMS.
Weg: Mitarbeiter sind im Tagesgeschäft vor allem
mit den technisch-formellen Aspekten eines CMS,
wie Berichtswesen oder Ordnungsprozessen, in
Verbindung. Sie erleben sich eher als passiv Emp-
fangende und Ausführende. Dem entgegen kön-
nen Mitarbeiter durch die eigene Rückbindung
pro Compliance aktiviert werden. Das geht am
wirkungsvollsten, indem die Mitarbeiter einen
persönlichen wie professionellen Wertbeitrag leis-
ten und ihre eigene Zuständigkeit gegenüber dem
Th ema und seinem Wert spüren können. Von der
Compliance-Abteilung könnte beispielsweise ein
„Presenter Day“ initiiert werden: Die Abteilun-
gen und Teams des Unternehmens stellen „ihre“
Compliance innerhalb der jeweiligen Wirkungs-
bereiche vor. Präsentiert werden die Relevanz von
Compliance im Arbeitsbereich, die Maßnahmen
oder auch eigene Erfahrungen und Anekdo-
ten. Die Präsentationsleistung fördert nicht nur
Bewusstseinsbildung und kreative Auseinander-
setzung mit dem Th ema, sondern auch den Aus-
tausch über die betriebswirtschaft lichen Vorgänge
der verschiedenen Abteilungen unter der Schirm-
herrschaft der Compliance.
48
Interview
www.comply-online.de comply. 3/2016
Compliance „state of the art“Im Gespräch* mit Manuela Mackert, Sprecherin des Vorstands von DICO-Deutsches Institut für Compliance e.V., über die Entwicklung der Compliance in Deutschland, über Werte und Kultur der Regeleinhaltung.
comply: Herzlichen Dank für Ihre Bereit-
schaft , uns für ein Interview zur Verfügung
zu stehen! Wir möchten mit Ihnen gerne zwei
Th emenkomplexe besprechen. Zum einen
würden unsere Leserinnen und Leser gerne
mehr über die Schwerpunkte und Ziele von
DICO erfahren, zum anderen möchten wir
mit Ihnen in Ihrer Funktion als Chief Com-
pliance Offi cer über die aktuelle Compliance-
Entwicklung sprechen.
Gerne möchten wir mit einigen allge-
meineren Fragen anfangen und Sie in Ihrer
Funktion als Sprecherin des DICO-Vorstands
ansprechen: Was war die Motivation für die
Gründung des DICO, was ist seine wesentliche
Zielsetzung und Struktur?
Manuela Mackert: (lacht): Vor gut vier Jah-
ren kam Frank Hülsberg mit der Idee auf
mich zu, mit anderen Compliance-Kollegen
einen interdisziplinären und gemeinnützigen
Verband zu gründen, der das Th ema „Com-
pliance“ in Deutschland voran bringen sollte.
Sozusagen „von Praktikern für Praktiker“. So
etwas fehlte mir im Rahmen meiner Tätigkeit
als Chief Compliance Offi cer der Deutschen
Telekom bisher noch: Eine branchenübergrei-
fende Vereinigung, die die Compliance-Th e-
menstellungen von A wie Aufsichtsrat bis
Z wie Zertifi zierung mit all seinen Facetten
und Ausprägungen in der unternehmeri-
schen Landschaft prägt. Als ich dann noch
über meinen Kollegen Klaus Moosmayer das
Vertrauen erhalten habe, die Sprecherin des
damaligen Vorstands zu werden, wusste ich,
dass ich mit diesem tollen Team an meiner
Seite hier ernsthaft etwas bewegen kann.
DICO versteht sich als Ansprechpart-
ner für alle Compliance-Interessierten in
Wirtschaft , Verbänden und Gesetzgebung.
Wir haben es uns als Ziel gesetzt, Leitlinien
und Arbeitspapiere für die Compliance-
Arbeit zu entwickeln sowie die Fachwelt und
die interessierte Allgemeinheit zu allen Belan-
gen der Compliance zu informieren.
comply: Konnten die wesentlichen Zielset-
zungen bisher realisiert werden? In welchen
Bereichen sehen Sie derzeit noch den wesent-
lichen Handlungsbedarf, welche Ziele möchte
DICO bis 2017 erreichen?
Manuela Mackert: DICO hat mittlerweile
diverse Arbeitspapiere und Praxisleitfäden
zu verschiedenen Th emenschwerpunkten
wie „Geschäft spartner-Compliance“ oder
„Zielgruppenorientierte Schulungskonzepte“
herausgebracht, wir haben ein stabiles Netz-
werk zu unseren Kooperationspartnern, die
das „Compliance-Angebot“ thematisch sinn-
voll ergänzen (z.B. AdAR, AfIn, BME).
Wir organisieren Gesprächsabende zu Th e-
men wie dem DOJ Yates Memorandum, der
Zusammenarbeit mit der Staatsanwaltschaft
oder demnächst zum Th ema „Sportsponso-
ring“. Darüber hinaus hat sich unser jähr-
liches Mitgliederevent, das DICO Forum
Compliance zu einer der TOP-Veranstaltun-
gen in Deutschland etabliert, wenn es um das
Th ema Compliance geht. Richtig gut fi nde
ich, dass die hochklassigen Referenten fast
ausnahmslos DICO-Mitglieder sind. Und
Verband
*Das Gespräch für die comply. führte Prof. Dr. Bartosz Makowicz
49
Interview
comply. 3/2016 www.comply-online.de
nebenbei hat sich aus der tollen fachlichen
Arbeit unserer Organe und Arbeitskreise
heraus eine tolle Gemeinschaft entwickelt,
in der man mit seinen Fragestellungen nicht
allein gelassen wird. In dieser Gemeinschaft
fühle ich mich extrem wohl und aus den vie-
len Gesprächen mit anderen Kollegen nehme
ich mit, dass ich nicht die Einzige bin. Daher
bin ich sehr stolz auf das, was wir als kleines
aber feines, gemeinnütziges „Startup“ in den
letzten drei Jahren erreicht
haben.
Nun ist DICO an einem
Punkt angelangt, wo wir uns
auch außerhalb der Com-
pliance-Community noch
viel stärker aufstellen und
positionieren müssen, um
die interessierte Allgemein-
heit und fachfremde Funk-
tionsinhaber noch besser
über die Compliance-The-
men zu informieren.
comply: Neben DICO bestehen in Deutsch-
land weitere Organisationen, die sich
schwerpunktmäßig mit Compliance befas-
sen. Gemeint sind z.B. der Berufsverband
der Compliance Manager e.V., das Netzwerk
Compliance e.V. oder der Bundesverband
Deutscher Compliance Officer e.V. Auch im
Bundesverband der Unternehmensjuristen
e.V. wird Compliance behandelt. Wie könnte
man einem Compliance-Laien die Existenz
dieser diversen Organisationen erklären wie
grenzt sich der DICO von ihnen ab?
Manuela Mackert: Im Gegensatz zu den
Berufsverbänden, die ihren Berufsstand
zu fördern versuchen, versteht sich DICO
als unabhängiges und interdisziplinäres
Netzwerk für Unternehmen und Einzelmit-
glieder, das Hilfestellungen zu spezifischen
Compliance-Themen für die tägliche Arbeit
liefert. Hier steht also die fachliche Weiter-
entwicklung der Compliance als solches
im Vordergrund. Wer hierbei mitgestalten
möchte und nebenbei den Austausch mit
Vertretern aus der Wirtschaft, Wissenschaft,
Politik und Verwaltung sucht, ist bei DICO
goldrichtig.
comply: Ist daraus eine generelle Tendenz
zur Zusammenführung der vielen Organisa-
tionen zu erblicken?
Manuela Mackert: Ich denke, dass es
momentan keine fachliche Konsolidierung
der einzelnen Organisationen geben wird.
Jede der Gruppierungen hat einen unter-
schiedlichen Schwerpunkt und Ansatz in der
fachlichen Arbeit. Es wird laufen wie in der
freien Wirtschaft: Letztendlich entscheidet
das Mitglied, bei welcher der Organisatio-
nen es sich am besten aufgehoben fühlt, wo
es seine Ziele am besten umgesetzt sieht und
ob dort viel oder wenig passiert. Anhand der
steigenden oder fallenden Mitgliederzahlen
könnte man dann eine Indikation ableiten,
ob sich eine Organisation einen neuen Part-
ner suchen muss.
comply: Ihr Institut nimmt oft Stellung zu
politischen Themen und erarbeitet nützliche
Leitfäden für die Praxis, könnten Sie uns
davon ein wenig mehr erzählen?
Manuela Mackert: Bei DICO engagieren
sich kontinuierlich über 220 Mitglieder und
Vertreter unserer Unternehmensmitglie-
der in unseren sechs Ausschüssen und 12
Arbeitskreisen. Wir verfolgen hierbei den
interdisziplinären Ansatz, sodass Wirt-
schaft, Wissenschaft, Beratung, Verwaltung,
Justiz und Politik ein Forum finden, auf dem
sie gemeinsam Erfahrungen, Gedanken und
Ideen austauschen und weiterentwickeln
können. So stärkt DICO die Compliance in
den Mitgliedsunternehmen, indem diese
auf gemeinsam entwickelte Vorschläge und
Modelle, wie unsere Leitlinien, zurückgrei-
fen können.
Die DICO-Leitlinien richten sich an die
Compliance-Praktiker. Sie sollen einen Ein-
stieg in das Thema erleichtern und einen
Überblick verschaffen. Es wird daher bewusst
darauf verzichtet, juristische Sonderfälle und
Ausnahmeregelungen aufzuzeigen. Sie bie-
ten dem geneigten Leser praxistaugliche und
umsetzbare Empfehlungen für das jeweilige
Compliance-Thema. Mit unseren Veröffent-
lichungen soll zugleich der „state of the art“
aufgezeigt werden sowie eine Diskussion
zum jeweiligen Themenkreis angestoßen
werden.
comply: Nun lassen Sie uns zu den Fragen
kommen, die wir Ihnen gerne in Ihrer Funk-
tion als Chief Compliance Officer stellen
möchten: Werte, Kultur, Mensch. In welchem
Zusammenhang sehen Sie diese Begriffe zu
einem Compliance Management System?
Manuela Mackert: Eine reine Legal Com-
pliance wäre mit mir nicht zu machen. Die
Unternehmenskultur und damit die Men-
schen sind der wesentliche Schlüssel für
ein funktionierendes Compliance Manage-
ment. Wenn man mit den Business-
Verantwortlichen und ihren Teams zusam-
men die Prozesse erarbeitet,
sie verständlich und nach-
vollziehbar macht, erhält
man gleich ein anderes Com-
mitment. Eine so entwickelte
intrinsische Motivation ist
für mich die beste Grundlage
integeren Verhaltens. Erst
wenn die Vorgaben wirk-
lich akzeptiert und gelebt
werden, ist Compliance im
Arbeitsalltag angekommen.
Gleichzeitig setzen wir bei
der Deutschen Telekom vor
allem darauf, Fehlverhalten schon im Vor-
feld vorzubeugen. Durch ansprechende
Trainings und umfassende Beratungsan-
gebote sollen Menschen informiert und für
Compliance gewonnen werden. So schließt
sich der Kreis für mich, denn damit stärkt
Compliance die Unternehmenskultur.
comply: Wird den oben genannten Begriffen
Ihrer Ansicht nach heutzutage in den meisten
CMS noch zu wenig Rechnung getragen? Viel-
leicht könnten Sie stärker zum Tragen kom-
men, wenn intergierte Governance-Ansätze
implementiert werden würden?
Manuela Mackert: Ich nehme eine Ver-
schiebung vom formalen Compliance
Management hin zur Gestaltung von Unter-
nehmenskulturen wahr. Die Erkenntnis ist
vorhanden, dass verhaltensökonomische
Ansätze helfen können, das CMS effektiver
zu gestalten. Die Herausforderung besteht
nun darin, praxistaugliche und wirksame
Maßnahmen abzuleiten. Integrierte Gover-
nance-Ansätze werden auch bei der Deut-
schen Telekom schon seit einigen Jahren
erfolgreich umgesetzt. Meine Praxiser-
fahrung zeigt: Diese Ansätze helfen dabei
einen ganzheitlichen Blick auf Risiken und
Maßnahmen zu gewinnen. Sie führen aber
nicht automatisch dazu, dass Werte und
Menschen stärker in den Blickwinkel gera-
ten. Das muss von den Leitern der beteilig-
ten Risiko-Funktionen klar eingefordert
werden.
comply: Obwohl die allgemeine Compli-
ance-Entwicklung immer mehr die obigen
Werte berücksichtigt, stößt man in der
Verband
„Aufgabe der Compliance Officer ist es,
Regelwerke lesbar und anwendbar
zu machen.“
50
Interview
www.comply-online.de comply. 3/2016
Unternehmensrealität trotzdem in der Regel
auf Widerstände. Compliance wird immer
noch meistens als Einhaltung des Rechts und
Schutz der Vorstände vor Haft ung verstan-
den. Wie könnte dagegen Ihrer Ansicht nach
in den Unternehmen und auf der politischen
Ebene vorgegangen werden? Sollte in der Hin-
sicht auch der Gesetzgeber tätig werden?
Manuela Mackert: Widerstände sind häufi g
dann am größten, wenn etwas nicht verstan-
den wird. Aufgabe der Compliance Offi cer
ist es daher die Regelwerke lebbar und
anwendbar zu machen. Der Nutzen und die
Sinnhaft igkeit müssen vermittelt werden. Als
Compliance-Verantwortliche müssen wir
klar machen, dass jeder etwas von Regeltreue
hat. Ob es um das Ansehen des Unterneh-
mens geht, um die erfolgreiche Beteiligung
an Ausschreibungen oder die Attraktivität
am Kapitalmarkt, Compliance trägt zum
Unternehmenserfolg bei – und davon profi -
tieren auch die Beschäft igten. Das zu vermit-
teln sehe ich in erster Linie als Aufgabe der
Compliance-Verantwortlichen, nicht als eine
Aufgabe der Politik.
Darüber hinaus sehe ich aber noch eine
weitere Größe: Immer mehr Investoren ach-
ten sehr genau darauf, wo sie ihre Gelder
anlegen. Sie analysieren daher sehr detail-
liert, ob es sich um nachhaltige, integere
Unternehmen handelt. So wird Compliance
auch immer mehr zu einem messbaren Fak-
tor, wenn aufgrund nachvollziehbarer, guter
Unternehmenskultur und -führung das
Unternehmens-Rating steigt.
comply: Wo wir die Politik angesprochen
haben: Zumindest in der laufenden Legisla-
turperiode scheinen die Reformen im direk-
ten Compliance-Bereich vom Tisch zu sein.
Der DICO hat sich gegen die Einführung
einer Unternehmensstrafe ausgesprochen,
jedoch eine Reform des OWiG vorgeschla-
gen. Wir dringend ist in Deutschland Ihrer
Ansicht nach der Reformbedarf?
Manuela Mackert: DICO, d.h. unser Arbeits-
kreis Strafrecht unter der Leitung von Prof.
Dr. Alfred Dierlamm, hat die Einführung
der Unternehmensstrafe intensiv geprüft .
Ein aus Unternehmensvertretern, Universi-
tätsprofessoren und Justizpraktikern beste-
hender Arbeitskreis bei DICO hat sich nach
eingehender Erörterung gegen die Unterneh-
mensstrafe ausgesprochen und eine Reform
der §§ 30, 130 OWiG vorgeschlagen. DICO
fordert daher immer noch, dass Compliance
im Gesetz ausdrücklich verankert wird und
entsprechende Anreize für die Einführung
von Compliance-Maßnahmen in Unterneh-
men geschaff en werden – eine Reform, die
aus unserer Sicht längst überfällig ist.
comply: Off ensichtlich fehlt es immer noch an
gesetzlichen Compliance-Anreizen. Wie wür-
den Sie die unentschlossenen Unternehmen
dazu motivieren, CMS zu implementieren?
Manuela Mackert: Ich nehme wahr, dass
immer mehr Unternehmen verstehen,
warum Compliance für sie wichtig ist.
Compliance erfüllt keinen Selbstzweck, son-
dern hat unmittelbare Geschäft srelevanz.
Compliance-Zertifi zierungen gewinnen an
Bedeutung für die erfolgreiche Teilnahme
bei Ausschreibungen, Nachhaltigkeitsinves-
toren legen ein besonderes Augenmerk auf
das Th ema und wollen sehr genau wissen,
wie Compliance sichergestellt wird. Und
schließlich geht es um die Stärkung des
Vertrauens unserer Kunden. Rechtmäßi-
ges Handeln schafft Glaubwürdigkeit – ein
Punkt den Konsumenten zunehmend bei
ihrer Kaufentscheidung berücksichtigen.
Entscheidender als die Frage, ob überhaupt
ein CMS umgesetzt wird ist daher für mich
die Frage, in welchem Umfang ein CMS für
das jeweilige Unternehmen angemessen ist.
comply: Nun haben wir bisher nur über die
Wirtschaft gesprochen. Doch handelt es sich
ebenfalls bei den Einheiten der öff entlichen
Verwaltung um Organisationen mit Mitglie-
dern, die Compliance-Risiken ausgeliefert
sind. Die Rechtsprechung fordert immer
klarer und deutlicher von der Wirtschaft die
Implementierung von CMS, lässt aber die
öff entlichen Einrichtungen unberücksichtigt.
Ist das der richtige Weg oder sollten ausge-
rechnet diese Organisationen (Ministerien,
Kommunen, Städte, etc.) mit einem guten
Beispiel voran gehen?
Manuela Mackert: Sicherlich gehören Com-
pliance Management Systeme längst zum
Standard moderner Unternehmensführung.
Aber ich habe den Eindruck, dass auch in der
öff entlichen Verwaltung das Th ema zuneh-
mend an Bedeutung gewinnt, da Bürger
Verband
und Steuerzahler von den Mitarbeitern der
öff entlichen Verwaltung doch noch mehr als
von Privaten die Beachtung von Recht und
Gesetz erwarten. Von der Einhaltung von
Regeln und Gesetzen als Selbstverständlich-
keit auszugehen, ist aber äußerst gefährlich,
sind doch die Grenzen zwischen zulässigem,
sozialadäquatem Verhalten und unzulässiger
Beeinfl ussung fl ießend.
Vor diesem Hintergrund nehme ich wahr,
dass der Bedarf zum Th ema Einführung
von CMS an dieser Stelle sehr groß ist. Wir
planen derzeit im Herbst diesen Jahres das
Gespräch mit den relevanten Ansprechpart-
nern der Ministerien, um zu schauen, wie
DICO die öff entlichen Organe hierbei unter-
stützen kann.
comply: Zum Schluss möchten wir Ihnen eine
eher visionäre Frage stellen. Das Handelsblatt
hat einmal aus der Compliance-Entwicklung
die Cover-Story unter dem Titel „Die neuen
Mächtigen. Der Compliance-Wahnsinn und
die Herrschaft der Anwälte in deutschen
Unternehmen“ gemacht. Meinen Sie, dass mit
Compliance in Deutschland inzwischen über-
trieben wird? Und wenn wir bedenken, dass
auch in Unternehmen, die exzellente und teils
zertifi zierte CMS besitzen, auch Compliance-
Probleme auft reten, sollte man nicht lieber
sagen, dass Compliance inzwischen geschei-
tert ist? Wo geht die Compliance-Reise in den
nächsten Jahren hin?
Manuela Mackert: Es kann keine Rede davon
sein, dass Compliance gescheitert ist. Im
Gegenteil: Compliance etabliert sich immer
weiter in der Unternehmenslandschaft . Glo-
bale Geschäft e und auch die Digitalisierung
brauchen Regeln und eine gute Beratung
seitens Compliance, um den Anforderungen
des ehrbaren Kaufmanns gerecht zu werden.
Wichtig ist dabei das gesunde Mittelmaß zu
fi nden. Compliance muss vor allem anwend-
bar sein und gelebt werden können. Es darf
nicht als Bürokratiemonster mit unsinni-
gen Vorgaben daherkommen. Aber klar ist
auch: Selbst das beste CMS schützt nicht vor
schwarzen Schafen und kriminellen Einzel-
fällen – doch es senkt die Möglichkeiten für
Fehlverhalten. Stellen Sie sich nur vor, wo wir
heute ohne Compliance stünden? Compliance
muss sich mit den aktuellen Veränderungen
im Zuge der Digitalisierung und den Erwar-
tungen der Öff entlichkeit hinsichtlich Ethik
in der Wirtschaft auseinandersetzen. Dabei
muss es sich vor allem noch selbstverständ-
licher in den Arbeitsalltag von Beschäft igten
und Führungskräft en integrieren, um akzep-
tiert zu werden.
comply: Liebe Frau Mackert, herzlichen
Dank für das Gespräch!
51comply. 3/2016 www.comply-online.decomply. 1/2016 www.comply-online.de
Gierschmann · Schlender · Stentzel · Veil (Hrsg.)
Kommentar Datenschutz-Grundverordnung
Unternehmen und Wirtschaft
shop.bundesanzeiger-verlag.de/0721-5 shop.bundesanzeiger-verlag.de/0638-6
Jetzt versandkostenfrei (deutschlandweit) bestellen:
www.bundesanzeiger-verlag.de
E-Mail: [email protected]: 0221/ 9 76 68-291/315 · Fax: 0221/9 76 68-271in jeder Fachbuchhandlung
Unternehmen und Wirtschaft
Gierschmann · Veil · Schlender · Stentzel (Hrsg.)
Gierschmann (Hrsg.)
Mit der Datenschutz-Grundverordnung kommt erstmalig ein europaeinheitliches Datenschutzrecht. Nach Verabschiedung tritt sie unmittelbar in Kraft, erlangt aber erst zwei Jahre später Geltung.
In diesem Übergangszeitraum wird erhebliche Unsicherheit über die genaue Anwendung und Auslegung des neuen Rechts bestehen. Die Verordnung enthält zahlreiche unbestimmte Rechts-begriffe, die europarechtlich auszulegen sind, entsprechende Rechtsprechung und Verwaltungs-praxis existiert jedoch noch nicht.
Mit der EU-Datenschutz-Grundverordnung (DS-GVO) kommt erstmalig ein europaeinheitliches Datenschutzrecht. Die DS-GVO ist ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten verbindliches und unmittelbar anwendbares Recht. Sie enthält nicht nur bereits bekannte, sondern auch viele neue Konzepte und Pfl ichten, für deren Einhaltung die Unternehmen in zwei Jahren bei Meidung hoher Bußgelder rechenschaftspfl ichtig sind. Es ist deshalb dringend erforderlich, sich bereits jetzt mit der Verordnung auseinanderzusetzen.
ISBN 978-3-8462-0639-0Auch als E-Book (PDF), 119,00 € (Subskriptionspreis)Einzelplatzlizenz, Mehrplatzlizenzen auf AnfragePDF
E-BookEEE BBBBBEEEE
ISBN 978-3-8462-0638-62016, ca. 1000 Seiten, 16,5 x 24,4 cm, Buch (Hardcover), Subskriptionspreis 119,00 € gültig bis 30.11.2016, danach 139,00 €Erscheinungstermin: 3. Quartal 2016
Kommentar Datenschutz-Grundverordnung
Workbook Datenschutz-Grundverordnung
Gierschmann · Schlender · Stentzel · Veil (Hrsg.)
Kommentar Datenschutz-Grundverordnung
Unternehmen und Wirtschaft
IHRE VORTEILE
IHRE VORTEILE
Verstehen Sie Hintergründe und Zielsetzung der EU-Datenschutz-Grundverordnung
Erkennen Sie rechtzeitig Ihre Pflichten und setzen Sie sie um
Profitieren Sie von einem exklusiven Autorenteam, das in die Entstehung der Verordnung unmittelbar involviert war
Systematische Aufbereitung der DS-GVO für den Praktiker
Direkt einsetzbare Arbeitshilfe zur Vorbereitung der Umsetzung der DS-GVO
Schulungsmaterial für Jedermann
Zuordnung zu den Entwurfsmaterialien erleichtert die historische und systematische Auslegung des Textes
Die umfassende Orientierung im neuen Datenschutzrecht!NEU
Unternehmen und Wirtschaft
Gierschmann (Hrsg.)
Workbook Datenschutz- GrundverordnungSystematisch aufbereitet für den Praktiker
Die Einstiegshilfe in das neue Datenschutzrecht!
ISBN 978-3-8462-0721-5 (deutsch)
ISBN 978-3-8462-0728-4 (engl.)
2016, 300 Seiten, 21 x 29,7 cm,Buch (Softcover), 39,80 €
ISBN 978-3-8462-0722-2 (deutsch)
ISBN 978-3-8462-0729-1 (engl.)
Online-Publikation, 39,80 €Einzelplatzlizenz, Mehrplatzlizenzen auf Anfrage
online
Buch und Online-Anwendung auch im Bundle erhältlich – 69,00 €Best.-Nr. 221622191(deutsch) / 221622291(engl.)
Auch in Englisch!NEU
Workbook Datenschutz-Grundverordnung
ONLINE
52 www.comply-online.de comply. 3/2016
Compliance in der LieferketteWie auch kleine und mittelständische Unternehmen von Experten großer Unternehmen im Rahmen des Trainingsprogramms der Allianz für Integrität profi tieren können.Die Bekämpfung von Korruption gewinnt weltweit immer mehr an Bedeutung und nimmt mittlerweile
in der öff entlichen Diskussion einen hohen Stellenwert ein. Dabei spielt der Privatsektor eine entschei-
dende Rolle. Regierungen, Nichtregierungsorganisationen und Verbraucher verlangen bei Unternehmen
nach mehr Transparenz, korrekten Rechenschaft sberichten sowie aufrechtem und fairem Handeln.
Dies liegt einerseits an der Erkenntnis, dass Korruption ein zentraler Auslöser für soziales Elend und
unzureichende wirtschaft liche Entwicklung ist. Andererseits zeigt sich auch innerhalb der Gesetzgebung
vieler Länder eine deutliche Tendenz hin zu Normierungen, die für Unternehmen verpfl ichtende, prä-
ventive Maßnahmen zur Stärkung von Integrität vorsehen.
53comply. 3/2016 www.comply-online.de
Allianz für Integrität – Business Take Action
Dies stellt insbesondere kleine und mittelständische
Unternehmen (KMU) vor besondere Herausfor-
derungen, denn sie verfügen in der Regel nur über
begrenzte personelle und fi nanzielle Ressourcen,
gerade wenn sie sich als Teil von globalen Lieferketten
einem harten Wettbewerb ausgesetzt sehen. Um eine
Integritätskultur zu vermitteln, sind praxisorientierte
Compliance-Trainings für das Personal unerlässlich.
Genau hier setzt die Allianz für Integrität1 an,
indem sie Peer-to-Peer Learning, Wissenspooling
und Erfahrungsaustausch zwischen Unternehmen
fördert und so langfristig ein Level-Playing-Field schafft .
Die Allianz für Integrität ist eine wirtschaft sgetriebene
Multistakeholder-Initiative aus Unternehmen, Zivil-
gesellschaft , staatlichen Akteuren und internationalen
Organisationen, deren Ziel es ist, Korruptionsrisiken im
Wirtschaft ssystem durch Collective Action zu vermin-
dern. Die Initiative wird von der Deutschen Gesellschaft
für Internationale Zusammenarbeit (GIZ) GmbH im
Auft rag des Bundesministeriums für wirtschaft liche
Zusammenarbeit und Entwicklung (BMZ) umgesetzt
und ist neben Deutschland zurzeit in Brasilien, Indien,
Indonesien, Ghana und in den jeweiligen Regionen
aktiv. In Lateinamerika besitzt die Allianz für Integrität
eine starke Präsenz durch das in Kooperation mit den
deutschen Auslandshandelskammern und den lokalen
UN Global Compact-Netzwerken implementierte „De
Empresas Para Empresas“ („Von Unternehmen für
Unternehmen“) Compliance-Trainingsprogramm.
Das World Bank Institute (WBI) defi niert „Collective Action“ als:
“[…] a collaborative and sustained process of cooperation amongst stakeholders. It increases the impact and credibility of individual action, brings vulnerable individual players into an alliance of like-minded organizations and levels the playing field between competitors. Collective Action can complement or temporarily substitute for and strengthen weak local laws and anti-corruption practices” (WBI, 2008).
Gerade in einer globalisierten Weltwirtschaft genügt es nicht, wenn lediglich große Konzerne ihre Compliance-Fähigkeiten erhöhen. In schwierigen Märkten kann nur gemeinsam mit anderen Stakeholdern langfristig ein Level-Playing-Field geschaffen werden. Collective-Action-Initiativen wie die Allianz für Integrität können hierbei eine unter-stützende Rolle einnehmen. Für die Legitimität und den Erfolg solcher Maßnahmen ist es daher wichtig, dass sich so viele und verschiedene Unternehmen wie möglich an kollektiven Maßnahmen beteiligen.
„Von Unternehmen für Unternehmen“
Das Compliance-Trainingsprogramm der Allianz für
Integrität ist das Kerninstrument beim Aufb au von
Antikorruptionskapazitäten in Unternehmen. Das
Trainingsprogramm wurde in Zusammenarbeit mit
dem Deutschen Global Compact Netzwerk (DGCN)
entwickelt und in Kooperation mit dem UN Global
Compact-Netzwerk Argentinien und der deutsch-
argentinischen Auslandshandelskammer in Argenti-
nien pilotiert. Das Trainingsprogramm unterscheidet
sich maßgeblich von vielen anderen Weiterbildungen
im Bereich Compliance, denn es vereint international
erprobte Lösungsansätze mit besonders praxisnahen
Beispielen. Um einen Beitrag zum Erfahrungsaus-
tausch zu leisten, setzt das Trainingsprogramm auf
Unternehmensvertreter als zentrales Glied in einem
Train-the-Trainer-Ansatz. Als Alleinstellungsmerk-
mal erweist sich jedoch der Online Support Desk, der
es Trainingsteilnehmern erlaubt, sich im Nachgang
der Trainings mit in der Regel praktischen Fragen
zur Implementierung des Gelernten an Experten zu
wenden. Das Trainingsprogramm ist mittlerweile
in Argentinien, Brasilien, Chile, Mexiko, Kolum-
bien, Paraguay und Uruguay aktiv und wird 2016 auf
Deutschland, Ghana, Indien und Indonesien ausgewei-
tet. In Lateinamerika wurden im Zeitraum Januar 2015
bis Juni 2016 bereits mehr als 350 Vertreter von mehr
als 250 KMUs und anderen Organisationen trainiert.
Drei Schritte mit dem Fokus auf mittelständische Unternehmen
Beim Compliance-Trainingsprogramm der Allianz
für Integrität handelt es sich um einen Train-the-
Trainer-Ansatz. Das heißt, in der ersten Phase wer-
den Vertreter großer Unternehmen von Experten der
Allianz für Integrität im Bereich Korruptionspräven-
tion trainiert. Große Unternehmen verfügen vielfach
über spezialisiertes Personal im Bereich Compliance.
Diese Mitarbeiter sind in der Regel mit dem Th ema in
der Th eorie und in der Praxis vertraut und eignen sich
deshalb bestens als Trainer für KMUs mit kaum oder
wenigen Kenntnissen im Bereich Compliance.
Praxistransfer durch Trainer großer Unternehmen an Vertreter von KMUDie Vertreter großer Unternehmen engagieren sich
in weiterer Folge unentgeltlich als Trainer für die
Allianz für Integrität und geben ihr Wissen und
ihre Praxiserfahrung in der zweiten Phase unter
Anleitung der Experten an Vertreter von KMUs
weiter. Viele KMUs besitzen keine Experten im
Bereich Compliance, sondern die Aufgabe wird von
Angestellten mit einer Vielzahl von Zuständigkeiten
übernommen. KMUs leiden deshalb in der Regel
unter einem Wissensdefi zit im Bereich Compliance.
Durch den Trainingsansatz der Allianz für Integri-
tät werden Korruptionspräventionskapazitäten von
KMUs gezielt gestärkt, indem Wissensaustausch und
gegenseitiges Lernen gefördert wird. KMUs erhöhen
Noor Naqschbandi
Der Autor leitet die
Allianz für Integrität der
Gruppe Zusammenar-
beit mit der Wirtschaft ,
Abteilung Wirtschaft
und Soziales der Deut-
schen Gesellschaft für
Internationale Zusam-
menarbeit (GIZ) GmbH.
EssentialsInnovation
54 www.comply-online.de comply. 3/2016
dadurch ihre Wettbewerbsfähigkeit und verfügen
über praktische Werkzeuge um Korruptionsrisi-
ken zu minimieren. Vertreter großer Unternehmen
besitzen eine hohe Glaubwürdigkeit als Trainer, da
sie sich in ihrer täglichen Praxis mit dem Th ema
Compliance beschäft igen. Auch große Unternehmen
profi tieren: ihr Engagement wird von Geschäft spart-
nern und Kunden gesehen und den Mitarbeitern
wird eine glaubhaft e und vertrauenswürdige Com-
pliance-Kultur vermittelt. Langfristig kann dies
durch Reputationsgewinne einen erheblichen Bei-
trag zum wirtschaft lichen Erfolg des Unternehmens
leisten. Darüber hinaus können große Unternehmen
Geschäft spartner und Zulieferer mit mangelnden
fi nanziellen und personellen Ressourcen gezielt im
Bereich Compliance schulen lassen.
Kontinuierlicher Online Support durch ExpertennetzwerkIn der dritten Phase folgt die kontinuierliche Beglei-
tung der Trainingsteilnehmer durch den Online
Support Desk der Allianz für Integrität. Die Trai-
ningsteilnehmer erhalten Zugang zum Wissenspool
der Allianz für Integrität. Zudem können Fragen
an ein Expertennetzwerk gestellt werden, die in der
Regel innerhalb von 72 Stunden beantwortet wer-
den. Neben hauptsächlich Umsetzungsfragen geht
es hier auch oft um den psychologischen Aspekt der
Begleitung des Compliance-Kapazitätsaufb aus durch
Experten. Unternehmen haben darüber hinaus die
Möglichkeit, sich im Bereich Collective Action zu
engagieren und an weiteren Aktivitäten der Allianz
für Integrität teilzunehmen.
Wie verhalte ich mich im Graubereich?
Das Trainingsprogramm bringt internationale Good-
Practice-Ansätze mit besonders praxisorientierten
Beispielen zusammen und setzt keine vertieft en
Kenntnisse der Korruptionsprävention voraus. Der
inhaltliche Aufb au des Trainingsprogrammes ist wie
folgt: In einem ersten Schritt erfolgt eine Begriff s-
klärung. Im Zentrum stehen die Fragen: Was ist
Korruption und welche Arten der Korruption gibt
es? Dieser elementare Auft akt erlaubt es, einen off e-
nen und unvoreingenommenen Austausch zwischen
den Trainingsteilnehmern zu fördern. Im zweiten
Schritt steht die Relevanz von Compliance für das
eigene Unternehmen im Fokus. Die Frage wie das
eigene Unternehmen von Korruption betroff en ist
und warum Korruptionsprävention wichtig ist, wird
anhand von Praxisbeispielen erläutert. Im dritten
Schritt wird konkret auf Risikofaktoren eingegan-
gen. Es erfolgt eine Darstellung von typischen Risi-
ken anhand von Praxisbeispielen, in denen auch
der korrekte Umgang mit Risiken erläutert wird.
Abschließend werden Lösungsoptionen für kritische
Situationen und mögliche Präventionsmaßnahmen
dargestellt. Im Zentrum stehen Fragen wie: Was sind
die wesentlichen Bestandteile eines Ethik- und Com-
pliance-Programms? Was sollte bei der Auswahl von
Geschäft spartnern beachtet werden? Wie verhalte
ich mich in kritischen Situationen? Welche Chancen
bietet kollektives Handeln? Je nach Erwartungen und
Anforderungen der Trainingsteilnehmer wird der
Fokus des Trainings fl exibel angepasst.
Essentials Innovation
Abb. 1: Funktionsweise des Trainingsprogrammes
FAZIT
Abschließend muss festgehalten werden,
dass Compliance-Trainings alleine nicht aus-
reichen, um eff ektiv Korruptionsrisiken in
Unternehmen zu minimieren. Vielmehr ist
ein vielschichtiger Ansatz zur Korruptionsprä-
vention mit Bewusstseinsschaff ung, nachhal-
tigem Kapazitätsaufb au sowie Wissens- und
Erfahrungsaustausch zwischen Unternehmen
nötig, um langfristig Erfolge zu erzielen. Hier-
bei können Collective-Action-Initiativen einen
entscheidenden Beitrag leisten.
1 World Bank Institute WBI.2008. Fighting Corruption
Th rough Collective Action: A Guide for Business.
info.worldbank.org/etools/docs/antic/Whole_guide_
Oct.pdf. Zugegriff en: 20. Mai 2016.
Phase 1 Phase 2 Phase 3
Train-the-Trainer
Compliance Offi cer aus Unternehmen werden als Trainer ausgebildet und lernen, wie sie ihr Wissen anderen Unterneh-men vermitteln können.
Korruptionspräventions-training
Die in Phase 1 ausgebildeten Trainer schulen lokale KMU
Support Desk
Unternehmen, die an dem Training teilgenommen haben, werden durch ein Support Desk unterstützt, um die Theorie in die Praxis umzusetzen.
Expertennetzwerk
KMUMultinationales Unternehmen
Multinationales Unternehmen
55comply. 3/2016 www.comply-online.de
Essentials
Softskills
HinweisDie Allianz für Integrität ist eine wirtschaft sgetrie-
bene Multi-Stakeholder-Initiative unter Beteiligung
von Unternehmen, verfasster Wirtschaft , öff entli-
chem Sektor, Zivilgesellschaft und internationalen
Organisationen. Ziel der Allianz für Integrität ist es,
durch Collective Action integres Verhalten bei Unter-
nehmen, ihren Geschäft spartnern und weiteren rele-
vanten Akteuren im Wirtschaft ssystem zu fördern.
Das Bundesministerium für wirtschaft liche Zusam-
menarbeit und Entwicklung, die Wirtschaft spitzen-
verbände BDI & DIHK, mehrere Unternehmen und
Transparency International Deutschland haben die
Initiative gegründet. Die Allianz für Integrität ist in
Deutschland, Brasilien, Ghana, Indien und Indone-
sien sowie den jeweiligen Regionen aktiv. Dieses Jahr
fi ndet die globale Konferenz der Allianz für Integri-
tät unter dem Motto „From commitment to action -
applying integrity in practice“ am 17. November 2016
in Buenos Aires, Argentinien statt.
Weitere Informationen fi nden Sie auf
www.allianceforintegrity.org.
Compliance. Wissen. Praxis.Maßgeschneiderte Compliance-Seminare, Inhouse Trainings und Workshops
Willkommen bei der Compliance Academy!
Sie sind Einsteiger im Themenbereich Compliance, fachkundiger Compliance Manager oder suchen nach einem für ein
kleines oder mittelständisches Unternehmen zugeschnittenen Compliance-Konzept?
Dann fi nden Sie unter den zahlreichen Schulungsthemen der Compliance Academy das richtige Know-how für Ihren Bedarf.
Durch die enge Kooperation mit dem Viadrina Compliance Center der Europa-Universität Viadrina und dem damit verbun-
denen Wissenstransfer aus Forschung und Lehre direkt in die Praxis wird Ihnen bei der Compliance Academy Schulungs-
qualität auf höchstem Niveau geboten.
Wir freuen uns über Ihr Interesse und beraten Sie gerne.
Ihr Team der Compliance Academy
Start Up Seminar ComplianceWie viel Compliance braucht mein Unternehmen?
Perfekt für Einsteiger
Termin und Ort
09.-10.11.2016 || Münster
Einfach online anmelden:
www.ca-seminare.de
56 www.comply-online.de comply. 3/2016
Kein Deckungsschutz bei Korruption
Die Korruptionsfreiheit des Exportgeschäft s ist eine wesentliche Vorausset-
zung dafür, dass der Exporteur eine Hermes-Deckung, die ihn vor einem
Zahlungsausfall im Ausland schützt, erhalten kann. Deutschland hat die
für die Korruptionsprävention bei der Übernahme von Exportkredit-
garantien maßgebliche Empfehlung der OECD, die „Recommendation
on Bribery and Offi cially Supported Export Credits“ vom 18. Dezember
2006 in einem zweistufi gen Verfahren umgesetzt. Der vorliegende Bei-
trag stellt die Anforderungen an den Exporteur im Antragsverfahren dar
und weist auf die Konsequenzen hin, die den Exporteur treff en, wenn
sich nach Indeckungnahme herausstellen sollte, dass das Exportgeschäft
durch eine Korruptionshandlung zustande gekommen ist.
Deckung nur bei Korruptionsfreiheit
Die Exportkreditgarantien des Bundes („Her-
mes-Deckungen“) sind das wichtigste Instrument der
Außenhandelsförderung. Gerade bei großvolumigen
Exportgeschäft en zu mittel-/langfristigen Zahlungs-
bedingungen ist eine Hermes-Deckung in vielen Fäl-
len unverzichtbar. 2015 wurden deutsche Exporte in
einer Größenordnung von 25,8 Milliarden € mit einer
Hermes-Deckung gefördert.
Eine Deckung, die den Exporteur vor wirtschaftlich
und politisch bedingten Zahlungsausfällen schützt,
wird nur übernommen, wenn das Risiko vertretbar
erscheint und das Geschäft förderungswürdig ist.
Dabei ist die Korruptionsfreiheit – d.h., dass das
Geschäft nicht durch eine strafbare Handlung,
insbesondere Bestechung herbeigeführt worden ist –
ein zentrales Element der Förderungswürdigkeit.
OECD Recommendation bietet Rechtsrahmen
Die Bekämpfung der Korruption im internationa-
len Handelsverkehr ist ein Ziel, das in der OECD
mit hoher Priorität verfolgt wird. 1997 wurde in der
OECD das Abkommen über die Bekämpfung der
Bestechung ausländischer Amtsträger im internatio-
nalen Geschäft sverkehr geschlossen. Dieses Abkom-
men verpfl ichtete die beigetretenen Staaten, die
Bestechung ausländischer Amtsträger unter Strafe
zu stellen. Das Verbot, ausländische Amtsträger zu
bestechen fand auf der Ebene der Exportkredite sei-
nen Niederschlag, in einem „Action Statement“, das
2000 in der Export Credit Group der OECD verab-
schiedet wurde. Das Action Statement wurde 2006
überarbeitet und verschärft und erhielt den Status
einer „OECD Recommendation“.
Die Recommendation enthält u.a. auf Seite des
Exportkreditversicherers die Verpfl ichtung, zu prü-
fen, ob der Exporteur auf der Sperrliste einer inter-
nationalen Finanzinstitution (wie z.B. der Weltbank)
steht. Exporteure haben auf Verlangen die Identität
von Vermittlern off en-
zulegen und auch Höhe
und Zweck geleisteter
Provisionen darzulegen.
Im Antrags- und Entschä-
digungsverfahren muss
der Exportkreditversicherer
verschärft e Prüfungsmaßstäbe
(enhanced due diligence) anlegen,
wenn sich der Antragsteller auf einer
Sperrliste befi ndet, wenn er wegen
Korruption in den letzten fünf Jahren vor
Antragstellung verurteilt worden ist oder wenn
sonstige Verdachtsmomente vorliegen. Im Falle
eines hinreichenden Verdachts (credible evidence),
dass der Exportvertrag durch Korruption zustande
gekommen ist, sind die Strafverfolgungsbehörden zu
informieren.
In der Export Credit Group der OECD wird zur Zeit
über eine Weiterentwicklung der Recommendation
verhandelt.
Umsetzung im nationalen System der Hermes-Deckungen durch Zusicherung des Exporteurs
Die Vorgaben der OECD hat der Bund folgenderma-
ßen umgesetzt: Bei allen Einzeldeckungen (Lieferan-
tenkreditdeckung und Finanzkreditdeckung) hat der
Exporteur bzw. die Bank in einer gesonderten Anlage
zum Deckungsantrag eine Erklärung abzugeben:
Branche Außenwirtschaft
Exportkreditgarantien
„Wir versichern als Exporteur, dass
der Abschluss des Ausfuhrvertrages nicht
durch eine strafb are Handlung, insbesondere
Bestechung, herbeigeführt worden ist bzw.
herbeigeführt werden wird.“
Vect
or –
foto
lia.c
om
57comply. 3/2016 www.comply-online.de
von Korruptionsdelikten eine
Geldbuße nach § 30 OWiG fest-
gesetzt wurde. Dabei ist über
den Anwendungsbereich der
OECD Recommendation
hinaus jede Bestechung (und
nicht nur die eines Amtsträ-
gers) relevant. Dies ist auch
im Hinblick auf § 299
StGB konsequent.
Der Bund klärt, ob
der Antragsteller auf der
Sperrliste einer interna-
tionalen Finanzinstitu-
tion steht.
Ist dies der Fall oder
werden Fragen nach
einer Involviertheit in
Korruptionshandlungen
positiv beantwortet, schließt
sich in einer zweiten Stufe
eine vertieft e Prüfung (due
diligence) an, deren Aus-
gestaltung vom Einzelfall
abhängt. Auf jeden Fall hat
der Exporteur Stellung zum
internen korruptionspräventiven
Kontrollsystem zu nehmen. Auch
Fragen zu eingeschalteten Agenten
und Provisionszahlungen drängen
sich auf. 2015 standen 75 Unternehmen
(inklusive Konzerngesellschaft en) unter
vertieft er Korruptionsprüfung. Im abgelau-
fenen Jahr hatten 1.124 Unternehmen einen
Antrag auf eine Hermes-Deckung gestellt; d.h.
immerhin 6,7 % der Antragsteller mussten sich einer
vertieft en Prüfung unterziehen.
Dr. Eckhardt Moltrecht
Der Autor ist Rechts-
anwalt und war bis
März 2016 Mitglied
der Direktion bei Euler
Hermes und leitete das
Department „Interna-
tional Cooperation“ der
Exportgarantien des
Bundes.
BrancheAußenwirtschaft
Ist diese Erklärung unwahr (und kannte der Exporteur ihre Unrichtigkeit bzw. hätte sie kennen müssen), führt dies automatisch zur Haftungsbe-
freiung, wobei der Exporteur das sog. Entgelt (d.h. die Versicherungsprämie) nicht zurückerhält.
Diese Konstruktion knüpft also primär nicht an die strafbare Korruptionshandlung an, sondern an die falsche Angabe darüber. Auf die Person desjeni-
gen, der die Bestechungshandlung vorgenommen hat, kommt es nicht an.
Prüfung des Exporteurs im Antragsverfahren
Im Antragsverfahren hat der Exporteur off enzu-
legen, ob er bzw. ein Mitarbeiter oder Agent in den
letzten fünf Jahren vor Antragstellung wegen Beste-
chung vor einem nationalen Gericht angeklagt oder
verurteilt wurde, ob ein Strafverfahren gegen ihn
oder Mitarbeiter in den letzten fünf Jahren nach
§ 153a StPO eingestellt wurde oder ob z.B. wegen
mangelnder Aufsichtsmaßnahmen zur Verhinderung
FAZIT
Die korruptionsfreie Abwicklung eines
Exportgeschäft s ist eine wesentliche Voraus-
setzung dafür, dass dieses Geschäft förde-
rungswürdig ist und eine Hermes-Deckung
erhalten kann. Stellt sich heraus, dass das
Geschäft entgegen der Angaben des Expor-
teurs im Deckungsantrag durch Korruption
zustande gekommen ist, erhält der Expor-
teur im Schadensfall keine Entschädigung.
Die geleistete Versicherungsprämie (Entgelt)
wird nicht erstattet. Im Fall von Verdachts-
momenten oder früherer Involviertheit des
Exporteurs in Korruptionshandlungen erfolgt
eine vertieft e Prüfung. Die OECD evalu-
iert die Exportkreditversicherungssysteme
der Mitgliedstaaten regelmäßig unter dem
Gesichtspunkt der Korruptionsprävention.
Die deutschen Maßnahmen wurden positiv
bewertet.
58 www.comply-online.de comply. 3/2016
Im Osten viel NeuesÜber die dynamische Entwicklung von Compliance in Polen
Der östliche Nachbar Deutschlands verzeichnet in den letzten Jahren einen anhaltenden wirtschaft lichen
Aufschwung. Die junge Marktwirtschaft eines noch vor 26 Jahren sozialistischen Staates mit Zentralver-
waltungswirtschaft verdankt ihre dynamische Entwicklung diverser Wirtschaft s- und Rechtsreformen,
die Schritt für Schritt durchgeführt wurden. Während noch vor kurzem eine expansive Unternehmens-
strategie im Fokus stand, verstärkt sich heute zunehmend das Bewusstsein für eine werteorientierte
Unternehmensführung. Corporate Compliance ist auf dem Vormarsch.
59comply. 3/2016 www.comply-online.de
Die Ausgangslage − geprägt durch den Einfl uss internationaler Konzerne
Noch vor kurzem wurde die Entwicklung von Cor-
porate Compliance in Polen größtenteils durch die
Aktivitäten internationaler Konzerne vorangetrie-
ben. In den polnischen Tochtergesellschaft en wur-
den Compliance Management Systeme (CMS) nach
ausländischen Mustern implementiert. Dabei wurde
das Compliance-Verständnis stark vom deutschen
Vorbild geprägt, was nicht zuletzt auf der Tatsache
beruhte, dass Deutschland für Polen der mit Abstand
größte Wirtschaft spartner ist und viele deutsche
Konzerne ihre Niederlassungen in Polen haben. Her-
vorzuheben sei auch die wesentliche Ähnlichkeit bei-
der Rechtssysteme, die ihren besonderen Ausdruck
im Gesellschaft srecht fi ndet. Auch in Polen sind die
Kapitalgesellschaft en nach dem dualistischen System
aufgebaut, was die Wahrnehmung und Aufnahme der
in Deutschland erarbeiteten Lösungen bezüglich der
Kompetenzverteilung innerhalb der Gesellschaft im
Hinblick auf Compliance wesentlich vereinfacht.
Neue Dimensionen der Compliance-Entwicklung
Seit zwei Jahren ist ein neuer Trend der Compliance-
Entwicklung zu beobachten, der zweidimensional
verläuft : Zum einen implementieren auch Unterneh-
men mit polnischem Kapital vermehrt in Compli-
ance Management-Systeme. Gründe hierfür sind die
zunehmenden Herausforderungen einer internatio-
nalen Geschäft swelt, die Erfüllung der Erwartungen
von Stakeholdern und nicht zuletzt die Bestimmun-
gen des neuen Corporate Governance Kodex, der in
der Neufassung vom 1. Januar 2016 erstmals explizit
die Einführung von Compliance Management-Syste-
men in börsennotierten Gesellschaft en empfi ehlt.
Überzeugungsarbeit staatlicher Institutionen sensibilisiert die UnternehmenZum anderen wird die Compliance-Entwicklung maß-
geblich durch die Tätigkeit zentraler Behörden verstärkt.
Während in Deutschland die Vorteile der Einführung
eines Compliance Management-Systems als Instrument
zur Vermeidung von Unregelmäßigkeiten primär von den
Unternehmen geschätzt werden, wird in Polen die Überzeu-
gungsarbeit zur Einführung eines CMS stark seitens staatli-
cher Institutionen geführt. Zu erwähnen ist hier insbesondere
die gemeinsame Erklärung der Zentralen Antikorruptions-
behörde, der Finanzaufsichtsbehörde und der Wertpapier-
börse vom 20. Mai 2014 zur Etablierung und langfristigen
Förderung der Compliance-Kultur in den börsennotierten
Gesellschaft en. Durch dieses Abkommen entstanden zahl-
reiche Tagungen, Workshops und Publikationen, die die
Vorstände und Aufsichtsräte für die Compliance-Th emen
(werteorientierte Unternehmensführung, Compliance-
Zertifi zierung, Whistleblowing, Compliance in öff entlichen
Auft rägen, Korruptionsbekämpfung) sensibilisieren sollten.
Starke Regulierung in der Finanz- und Versicherungsbranche
Traditionell wird Compliance, auch in Polen, stark
mit dem regulierten Finanz- und Versicherungsmarkt
konnotiert. Selbst wenn im polnischen Recht das Wort
„Compliance“ an keiner Stelle erwähnt wird, soll dies
kein Indiz dafür sein, dessen Bedeutung zu vernach-
lässigen: Das Bankenrecht schreibt im Art. 9c Abs.
2 Pkt. 2 vor, dass die Bank im Rahmen des internen
Kontrollsystems eine „Abteilung für Übereinstim-
mung“ zu etablieren hat. Zu deren Aufgaben gehören:
die Identifi kation, Bewertung, Kontrolle und das
Monitoring des Risikos der Nichtübereinstimmung
der Tätigkeit der Bank mit den Rechtsvorschrift en,
den internen Richtlinien und Marktstandards, sowie
die damit verbundenen Vorbereitungen der Berichte.
Es ist eindeutig zu erkennen, dass auf diese Weise
die Erfüllung der Compliance-Funktion in der Bank
beschrieben wird.
Rechtliche Verpfl ichtung zur Einführung von HinweisgebersystemenBemerkenswert ist die Novellierung des Banken-
rechts, infolge derer zum 1. November 2015 erstma-
lig eine rechtliche Verpf lichtung zur Einführung
von Hinweisgebersystemen in Banken eingeführt
wurde. Laut Art. 9 Abs. 2a des Bankenrechts sollen
in der Bank die Verfahren zum anonymen Mel-
den der Verletzungen der Rechtsvorschriften, der
internen Richtlinien und der ethischen Standards
eingerichtet werden. Bedeutend ist, dass Adressat
der Meldungen ein bestimmtes Mitglied der Vor-
stands oder sogar – in besonderen Fällen – der
Aufsichtsrat sein muss. Dabei soll die Bank sicher-
stellen, dass die Bankangestellten, die die Unregel-
mäßigkeiten melden, mindestens vor repressiven
Handlungen, Diskriminierung oder anderen Arten
ungerechter Behandlung geschützt werden. Die
Formulierung des Gesetzes wirft zahlreiche Fragen
auf, die erst mit dem Erlass der Verordnung durch
den Finanzminister beantwortet werden können.
Es ist ferner abzuwarten, wie die Gerichte künftig
in diesen Sachen entscheiden werden.
Empfehlungen der Finanzaufsichtsbehörde zum Internen Kontrollsystem und zur GeschäftsorganisationEine wichtige Rolle im Hinblick auf die Wahrneh-
mung der Compliance-Funktion im Bankwesen
spielen auch die Empfehlungen der Finanzaufsichts-
behörde. Derzeit wird an der Novellierung der sog.
H-Empfehlung gearbeitet, die das Funktionieren des
internen Kontrollsystems (und in dessen Rahmen der
Compliance-Funktion) in der Bank regelt. Darüber
hinaus soll eine neue sog. Z-Empfehlung bezüglich
der Geschäft sorganisation der Bank veröff entlicht
werden. Auch hier werden die Compliance-Fragen
näher behandelt.
Dr. iur. des. Bartosz Jagura, LL.M.
Der Autor ist
wissenschaft licher
Mitarbeiter am
Viadrina Compliance
Center an der Europa-
Universität Viadrina in
Frankfurt (Oder).
GlobalPolen
60
Compliance-Empfehlungen im Corporate Governance Kodex
Über die regulierten Märkte hinaus breitet sich die
Compliance-Entwicklung kontinuierlich branchen-
übergreifend aus. Einen Meilenstein stellt hier die
bereits erwähnte Veröff entlichung der Neufassung
des Corporate Governance Kodex (CGK) dar. Die
Regelungen des CGK beziehen sich auf die börsen-
notierten Gesellschaft en und sind nicht verbindlich.
Vielmehr liegt ihnen das aus ähnlichen Werken
bekannte Comply-or-Explain-System zugrunde.
Compliance ist umfänglich zu verstehenDie wesentlichen Bestimmungen bezüglich Compli-
ance sind im dritten Kapitel des CGK „Interne Sys-
teme und Funktionen“ enthalten. Zwar beschränkt
die grammatikalische Auslegung der Empfehlungen
die Funktionsweise von CMS lediglich auf die Ver-
meidung von Rechtsverstößen, es darf daraus aber
nicht der Schluss gezogen werden, dass die Com-
pliance Management-Systeme für
die Einhaltung anderer als
rechtsverbindlicher Rege-
lungen nicht zustän-
dig sind. Vielmehr
weist das von der
Warschauer
Wertpapierbörse herausgegebene Handbuch zum
CGK darauf hin, dass CMS die Übereinstimmung der
Tätigkeit der Gesellschaft sowohl mit dem geltenden
Recht als auch mit internen Regelungen und freiwilli-
gen Standards sicherstellen soll.
Empfehlungen zur inneren Ausgestaltung der Zuständigkeiten Der Kodex trägt dem Grundsatz der Verhältnismä-
ßigkeit Rechnung: die Implementierung von CMS soll
sich an die Größe und den Gegenstand der Gesell-
schaft , sowie den Umfang ihrer Tätigkeit orientieren.
Dabei wird der Akzent auf die Sicherstellung der
Wirksamkeit von CMS gelegt. Es wird auch empfoh-
len, die Compliance-Funktion innerhalb der Gesell-
schaft zu erfüllen und nicht an externe Dienstleister
zu outsourcen.
Zahlreiche Empfehlungen beziehen sich auf die
innere Ausgestaltung der Zuständigkeiten der einzel-
nen Organe der Gesellschaft im Hinblick auf Compli-
ance. Führende Rolle spielt der Vorstand, der für die
Implementierung und Gewährleistung der Wirksam-
keit von CMS verantwortlich ist. Das Gefl echt von
Zuständigkeiten wird auf der Abbildung dargestellt.
FAZIT
Das noch vor kurzem ausschließlich mit dem
Finanz- und Versicherungssektor gekoppelte
Management von Compliance-Risiken wird
mittlerweile auch in Polen branchenüber-
greifend zum Standard der bewussten und
werteorientierten Unternehmensführung. Die
dynamische Entwicklung von Compliance ist
sehr deutlich anhand der Neufassung des CGK
zu sehen. Der Kodex enthält Empfehlungen, die
einen innovativen Charakter haben und umfas-
send die Verwirklichung der Compliance-
Funktion in der Gesellschaft regeln.
Global Polen
www.comply-online.de comply. 3/2016
Zur Vertiefung:
Der polnische Corporate Governance Kodex ist unter https://static.gpw.pl/pub/fi les/PDF/RG/DPSN2016__GPW.pdf abrufbar.
Hau
ptve
rsam
mlu
ng
Auf
sich
tsra
t
Vors
tand
CMS
Com
plia
nce
Offi
cerLegt der
Hauptversammlung ein Mal im Jahr die
Bewertung der Wirksamkeit von CMS
vor (II.Z.10.1)
Stellt dem Aufsichtsrat ein Mal im Jahr
die Bewertung der Wirksamkeit von CMS
vor (III.Z.4)
Vorläufi ge Kontrolle der Wirksamkeit von CMS (III.Z.5)
Möglichkeit zur Berichterstattung unmittelbar an den Aufsichtsrat oder Prüfungsausschuss (III.Z.2)
Unterstellt unmittelbar dem Vorstandsvorsitzenden
oder einem anderen Mitglied des Vorstands (III.Z.2)
Verantwortlich für Implementierung und Gewährleistung
der Wirksamkeit von CMS (III.Z.1)
Abbildung: Die Compliance-Organisation nach dem polnischen CGK
© S
imeo
nVD
– is
tock
phot
o.co
m
61comply. 3/2016 www.comply-online.de
Compliance Made in Czech Republic Das Verständnis und die Entwicklung von Compliance in der Tschechischen Republik
Die aktuelle Fassung des Gesetzes zur „Strafrechtlichen Verantwortung von juristischen Personen“ ist
durch signifi kante konzeptuelle Veränderungen geprägt und bringt neue Herausforderung für Compli-
ance Management-Systeme (CMS) der Unternehmen mit sich, die in der Tschechischen Republik ihren
Sitz haben. Was ändert sich konkret und was sollten Compliance Manager besonders beachten?
Der Anfang1
Der tschechische Gesetzgeber hat sich bei der Konzipie-
rung des Gesetzes zur Strafrechtlichen Verantwortung
von juristischen Personen2 (JurPStGB) von verschie-
denen anderen Gesetzen inspirieren lassen, doch der
stärkste Einfl uss kam vom UK Bribery Act, welches
2010 in Großbritannien in Kraft getreten ist. Leider
wurde das JurPStGB unter dem Zeitdruck seitens ver-
schiedener internationaler Verpfl ichtungen bearbeitet
und verabschiedet ohne einen richtigen und tiefgehen-
den konzeptuellen Exkurs in den bestehenden rechtli-
chen Rahmen einzubeziehen, den es eigentlich ergänzen
sollte. Das Resultat ist erstaunlich: Zum einen enthält
das neue Gesetz 80 verschiedene für Unternehmen
relevante strafrechtliche Tatbestandsmerkmale. Zum
anderen bewirkte die fehlgeschlagene Anbindung des
Gesetzes an die übrigen bestehenden Gesetze und das
gesetzliche Rahmenkonzept, dass ein Eindruck ent-
stand, die Reform wurde unvorbereitet durchgeführt.
Diese Situation führte zu einem Paradoxon, denn
die rechtliche Verantwortung von juristischen Per-
sonen ist mit dem Gesetz deutlich erweitert worden.
Die beschriebenen Umstände verursachten aber auch,
dass das Gesetz von den Unternehmen kaum wahrge-
nommen wurde. An der Tatsache vermochten auch die
wenigen Aufk lärungsaktionen der Regierung nichts zu
ändern. Es fehlten sowohl ausführende Vorschrift en, als
auch weitere Richtlinien oder Hinweise des Justiz- oder
Innenministeriums zum Umgang mit dem Gesetz.
Die Reform führte somit zur Erweiterung der Unter-
nehmenshaft ung auf die strafrechtliche Verantwortung.
Aktuell erstreckt sich daher die Haft ung von Unterneh-
men in Tschechien auf alle drei Rechtsgebiete:
Zivil- und handelsrechtliche Haftung
Öffentlich-rechtliche Haftung für Ordnungswidrigkeiten
Strafrechtliche Haftung für natürliche Personen, die mit dem
Unternehmen verbunden sind
Generell liegt dem tschechischen Gesetz das „Modell der
vollumfänglichen strafrechtlichen Haft ung der juristi-
schen Person“ zugrunde, wonach die volle Verantwor-
tung bei der Gesellschaft liegt und dies zu erheblichen
Sanktionen und anderen Maßnahmen führen kann.
Zlata Kunesova
Die Autorin ist Mitglied
im Executive Board
der Czech Compliance
Association.
GlobalTschechische Republik
62
Global Tschechische Republik
www.comply-online.de comply. 3/2016
Wesentliche Neuerung: Erweiterung der Anwendung und Belohnung der Compliance!Die aktuellste und hier behandelte Gesetzesfassung
(Gesetz Nr. 183/2016 Slg.) wird am 1.12.2016 in Kraft
treten. Für die Compliance-Verantwortlichen ist es
daher jetzt schon an der Zeit, entsprechende Vorbe-
reitungen zu treff en.
Die wesentlichen Neuerungen können in zwei Grup-
pen eingeteilt werden:
Zum einen wird der Anwendungsbereich der
strafrechtlichen Verantwortlichkeit juristischer
Personen wesentlich erweitert.
Zum anderen wird die Möglichkeit vorgesehen,
dass von der Sanktionierung abgesehen wird,
wenn Unternehmen den Nachweis interner
Implementierung von wirksamen Präventiv-
maßnahmen zur Vermeidung von Vergehen
erfolgreich führen.
Zur Haftungserweiterung
Die Konzeption der alten Gesetzesfassung basierte
auf einer vollständigen (erschöpfenden) Liste von
80 Straft aten, für welche juristische Personen
strafrechtlich zur Verantwortung gezogen werden
konnten. Die aktualisierte Fassung sieht in § 7 eine
neue Methode der Aufl istung vor: Danach kann
eine juristische Person für alle (!) Straft aten nach
dem Strafgesetzbuch zur Haft ung herangezogen
werden. Ausgeschlossen sind jedoch solche Straf-
taten, die ihrem Wesen nach durch eine juristische
Person nicht begangen werden können (z.B. Mord
oder Körperverletzung). Durch den Verzicht auf den
positiven und geschlossenen Katalog der Straft aten
zugunsten der Negativbestimmung ist der Katalog
wesentlich erweitert worden.
Zur Möglichkeit der Enthaftung
Nach der alten Bestimmung des Gesetztes (§ 8 Abs.
2b) haft et die juristische Person für die Handlungen
von einem Mitarbeiter nicht, wenn sie alle Präven-
tions- und Kontrollmaßnahmen implementiert hat,
die einerseits einer juristischen Person rechtlich
zumutbar und andererseits erforderlich sind oder die
nach besonderen Vorschrift en implementiert werden
müssen. Nach dem alten Gesetz wurde ein Unterneh-
men bestraft , wenn solche notwendigen Kontrollen
nicht ergriff en, Straft aten nicht verhindert oder die
durch sie verursachten Schäden nicht abgewendet
wurden. Durch die Reform wird die Enthaft ung von
sowohl Organ- und Führungsmitgliedern, als auch
der juristischen Person selbst auch dann möglich,
wenn eff ektive Compliance Management-Systeme
nachwiesen werden. Eine solche Möglichkeit ist im
neuen § 8 Abs. 5 vorgesehen, der für die Enthaft ungs-
möglichkeit die Implementierung von wirksamen
Präventivmaßnahmen voraussetzt.
Anwendung der neuen Regelung in der Praxis
Da bisher weder ausführende Vorschrift en noch
entsprechende Richtlinien oder Leitfäden erlassen
wurden, führt die Reform zu einer erheblichen Unsi-
cherheit in der Praxis. Es ist insbesondere nicht klar,
was das Gesetz unter der Voraussetzung der „Präven-
tionsmaßnahmen“, oder unter „rechtlich (zumutbar)
erforderliche Maßnahmen“ versteht. Dies führt zu
der Situation, dass die weniger mit Compliance ver-
trauten inländischen Unternehmen das Gesetz nicht
umsetzen, während Unternehmen mit ausländischem
Kapital in der Regel die im Ausland implementierten
und bewährten (teils zertifi zierten) CMS in Tsche-
chien umgesetzt haben.
Die lokalen Gesellschaft en tappen zumeist im
Dunkeln und können sich nur auf Erfahrungen von
internationalen Gesellschaft en oder auf Beispiele der
internationalen Normen wie die ISO 19600, die öster-
reichische ONR 192050 oder die FCPA stützen.
Wegen der oben genannten Gründe ist es in diesem
Zusammenhang nicht überraschend, dass die lokalen
Unternehmen in der überwiegenden Mehrheit keine
Präventions- und Kontrollmaßnahmen implemen-
tiert haben, die darauf abzielen, ihre strafrechtliche
Verantwortlichkeit zu vermeiden oder zu verhindern.
Bei den wenigen, die es getan haben, beschränken
sich die Maßnahmen in der Regel auf die Einführung
von formalen Verhaltenskodizes.
63comply. 3/2016 www.comply-online.de
GlobalTschechische Republik
Gefahren der Reform
Neben den Schwierigkeiten in der Umsetzungspraxis
birgt die Reform möglicherweise weitere Gefahren
in sich. Einerseits bringt die Einführung einer mög-
lichen Befreiung von der Strafb arkeit eine grundle-
gende Stärkung der Compliance-Bedeutung, weil sie
eine deutlichere rechtliche Unterstützung und einen
konkreten praktikablen Sinn erhält. Es ermöglicht
einer juristischen Person in dem Fall einer Beschuldi-
gung sich zu verteidigen, wenn sie ein eff ektives CMS
nachweisen kann. Es ist aber auch möglich, dass das
neue Gesetz von den Gesellschaft en missbraucht wird
und die Verantwortung von der juristischen Person
auf ein Individuum geschoben wird. Die Gerichte
werden jeweils prüfen müssen, inwieweit die Unter-
nehmen alle Anstrengungen unternommen haben,
welche erforderlich waren, um die Tat zu verhindern,
und ob hierzu die Erstellung eines Verhaltenskodexes
ausreichend ist.
Verschiedene Organisationen in der Tschechischen
Republik widmen sich der Th ematik, u.a. auch die
Tschechische Compliance Assoziation, deren Auf-
gabe in der Förderung des Compliance-Berufs und in
der Unterstützung der Umsetzung von Compliance
als Bestandteil des Kontrollsystems der Verwaltung
von Unternehmen und Organisationen in der Tsche-
chischen Republik besteht.
FAZIT
Die aktuelle Fassung des Gesetzes zur „Straf-
rechtlichen Verantwortung von juristischen
Personen“ erweitert nicht nur den Katalog der
potenziellen Straft aten, für die Unternehmen
haft en können. Der Gesetzgeber verfolgt damit
auch die bereits aus anderen Ländern bekannte
Konzeption der Belohnung von Compliance-
Bemühungen. Sind Unternehmen im Falle
eines Verstoßes in der Lage, einen erfolgreichen
Beweis der internen Umsetzung von erforder-
lichen Präventionsmaßnahmen zu führen,
so kann dies zur Enthaft ung führen. Zwar ist
das Konzept zu begrüßen, denn damit wird
die Compliance-Kultur gefördert, doch ver-
ursachte der Gesetzgeber zugleich eine große
Unsicherheit, denn es fehlen weiterhin Hin-
weise und Richtlinien, die verdeutlichen, was
als „erforderliche Präventionsmaßnahmen“ zu
verstehen ist.
1 88351. Die Strafb arkeit der juristischen Personen in der "Year
One" aus der Compliance Perspektive, 6.2.2013 EPRAVO.CZ
JUDr. Pavel Koukal (Rödl & Partner).
2 Gesetz Nr. 418/2011 Slg. Die strafrechtliche Verantwortlich-
keit juristischer Personen und Verfahren gegen sie.
www.dico-ev.de
Wir unterstützen Sie bei der Gestaltung guter Unternehmensführung!
DICO – Deutsches Institut für Compliance e.V.
Regeln einsetzen um Regeln zu brechenWie Compliance instrumentalisiert und missbraucht werden kann
Huhn oder Ei, Regel oder Regelbruch – was war zuerst da? Ganz sicher ist beides untrennbar mitein-
ander verbunden. Compliance Management-Systeme (CMS) beschäft igen sich intensiv mit der Vermei-
dung von Regelverletzungen. Dazu formulieren sie neben den unzweifelhaft erforderlichen Regelwerken
auch die entsprechenden Sanktionen. Neu ist die Erfahrung, dass Complianceregeln selber zur Regel-
verletzung eingesetzt werden, um Sanktionen, die persönlichen Interessen dienen, zu provozieren. Viel-
leicht wurde in der Vergangenheit ja das schwächste Glied beim Th ema Compliance – der Mensch mit
seiner Fantasie und Fähigkeit zum Regelbruch – zu einseitig betrachtet …
65comply. 3/2016 www.comply-online.de
Die Gefahr aus den eigenen Reihen
Eine erste Idee, wer das schwächste Glied in jedem
noch so perfekten CMS sein könnte, gibt uns die in
Fachkreisen häufi g zitierte forensische Studie der
Beratungsgesellschaft KPMG zum Th ema Wirt-
schaft skriminalität in Deutschland, die seit Jahren zu
eindeutigen Ergebnissen kommt: Gerade die, denen
wir besonders vertrauen, sind oft unsere größten Geg-
ner oder aus Compliancesicht die größten Übeltäter.
Denn der typische Wirtschaftskriminelle ist ein „Innentäter“:
Mitte 50Männlich Mindestens 6 Jahre in der OrganisationAusgesprochen respektiert und freundlich
Zwei Drittel aller Wirtschaftsdelikte werden von diesen sogenannten Innentätern begangen, häufi g eben von diesen sympathischen und vertrauenerweckenden Herren, die zudem in der Hierarchie weit oben stehen und daher auch noch unbeschränkte Autorität genießen. Aufgrund ihrer Stellung im Unternehmen haben diese Innentäter meist an den Compliance-Mechanismen mitgear-beitet und wissen deshalb nur zu gut, wie diese auszuhebeln sind. Vereinfacht formuliert kann der, der mit der Kontrolle von Regeln und möglichen Sanktionen vertraut ist, mit geringerem Risiko Regeln brechen als der, der sich in diesem Dickicht nicht auskennt. Ein Beispiel aus dem Privatleben zeigt den Nutzen von Insiderwissen: Nach einer alkoholreichen Zechtour wird der Autofahrer die Strecke nach Hause nehmen, von der er als Ortskundiger weiß, dass dort keine Polizeikont-rolle stattfi ndet. Er wird nicht sanktioniert, was seine Alkoholfahrt nicht weniger schlimm macht. Funktioniert auch ohne Alkohol: Der zu schnell fahrende Autofahrer fährt dort langsamer, wo er um die stationären Blitzgeräte weiß – ist er vorbei, gibt er wieder Gas.
Vertrauensfalle
Es gibt insgesamt eine fast naive Risikowahrneh-
mung, was die Bedrohung durch Wirtschaft skrimi-
nalität in Deutschland angeht. Bei einem jährlichen
Schadenvolumen im zweistelligen Milliardenbereich
alleine in Deutschland ist es beinahe schon fahrlässig,
blindes Vertrauen in sympathische, vertrauensvolle
und langjährige Mitarbeiter zu stecken. Vor allem
kleine und mittelständische Unternehmen, wo die
Beziehungen häufi g noch persönlicher sind, laufen in
diese gefährliche Vertrauensfalle.
Zurück zum Th ema Instrumentalisierung von
Compliance, von der Regel als Mittel zum Regelbruch.
Wir reden hier von einem sehr intelligenten und
trickreichen Verhalten, von Täuschung, von Agieren
im Verborgenen und auch vom Einsatz moderner
Medien in einer virtuellen Welt. Dazu zunächst drei
Beispiele:
Beispiel: 1
Regel: Sei als Vorstand Vorbild, halte Dich
an Verträge und nutze den Firmenjet nur wie
vereinbart!
Regelbruch: Das Mitglied des SAP-Vorstands
Angelika Dammann tritt im Juli 2011 zurück,
nachdem ihr eine private und damit nicht
rechtmäßige Nutzung des Firmenjets vorge-
worfen wurde.
Regelinstrumentalisierung: Kurz nach ihrem
Rücktritt erwiesen sich die Vorwürfe als gegen-
standslos. Die Nutzung des Firmenjets war
ihr im kritisierten Zusammenhang sogar aus-
drücklich zugesichert worden. Den Rücktritt
vom Rücktritt gab es nicht, es waren Tatsachen
geschaff en worden. „Allerdings wird gemun-
kelt, dass die Flieger-Aff äre nur den aktuellen
Anlass, aber wohl nicht den einzigen Grund für
Dammanns Abgang lieferte“ (Spiegel-Online
vom 8.7.2011). Hat da jemand um die explo-
sive öff entliche Wirkung des Th emas gewusst,
diese Karte absichtlich gespielt und von Anfang
an nur eines gewollt – den Rücktritt von Frau
Dammann und nicht die ordnungsgemäße
Nutzung des Firmenjets?
Beispiel: 2
Regel: Übernehme als Präsident Verantwor-
tung und stehe Ermittlungen nicht im Wege!
Regelbruch: Auch Vereine haben Vorstände
bzw. Präsidien, so auch der ADAC. Der
ADAC-Präsident Peter Meyer trat infolge des
Skandals um die Manipulation des ADAC-Au-
topreises „Gelber Engel“ am 10. Februar 2014
zurück.
Regelinstrumentalisierung: Meyer hat mit
seinem Rücktritt Verantwortung für etwas
übernommen, was er selber nicht getan hat,
denn verantwortlich war zunächst einmal der
Pressesprecher, der ja ebenfalls zurücktrat.
Pikant sind in diesem Fall die Hintergründe.
Um deutlich zu machen, dass der ADAC im
Übrigen ein reines Gewissen hat und vor allem
einer vollständigen Aufk lärung der Vorwürfe
Kritik
Berthold Krüger
Der Autor ist Wirt-
schaft spsychologe und
berät bundesweit sowohl
Unternehmen als auch
Unternehmensberatun-
gen bei Fragen rund um
die Th emen Organisati-
onsentwicklung, Change
Management und
Compliance.
Psychologie
66 www.comply-online.de comply. 3/2016
nicht im Wege stehen wolle, schlug Meyer
dem übrigen Präsidium einen geschlossenen
Rücktritt vor („…um die Bahn für rückhalt-
lose Aufk lärung frei zu machen…“, so das
Gedächtnisprotokoll eines Teilnehmers). Nach
der Aufarbeitung der Krise sollte sich das
gesamte Präsidium zur Wiederwahl stellen, so
der Vorschlag Meyers. Natürlich gab es für nie-
manden im Präsidium eine Garantie für eine
spätere Wiederwahl auf die äußerst lukrativen
Präsidiumsposten. Das Präsidium lehnte die-
sen Vorschlag daher ab. Kurze Zeit später stieg
die Zahl der kritischen Medienberichte über
den ADAC stark an, der öff entliche Druck auf
den ADAC und auf Meyer wuchs enorm. Der
Presse teilte der ADAC daraufh in mit: „Ange-
sichts der aktuellen Vertrauenskrise und der
erschütternden Ergebnisse der aktuellen Kri-
senaufarbeitung habe das ADAC-Präsidium
…ein Suspendierungsverfahren gegen Meyer
beschlossen.“ Kurz darauf beugte sich Meyer
dem öff entlichen Druck und trat zurück – das
übrige Präsidium aber blieb weiterhin im Amt.
Nach seinem Rücktritt erwiesen sich die vielen
kleinen Vorwürfe allesamt als überzogen oder
gegenstandslos. Ein Schuft , wer hier an Intrige
oder die Instrumentalisierung von Regeln und
Öff entlichkeit denkt!
Beispiel: 3
Regel: Schuster bleibe bei deinen Leisten oder
Vorstandsvorsitzender, manipuliere nicht die
Märkte!
Regelbruch: Ex-Porsche-Chef Wendelin Wie-
deking musste sich dem Vorwurf der Markt-
manipulation stellen. Ein im Vergleich zu den
beiden ersten Beispielen extrem schwerwiegen-
der Vorwurf, vor allem mit Blick auf die damit
verbundenen Schäden und Konsequenzen.
Regelinstrumentalisierung: Das bei diesem
Kaliber der Regelverletzung die Justiz aktiv
wird, ist nachvollziehbar. Aber war es wirklich
ein solches Kaliber? Am Ende eines aufwän-
digen Prozesses kann man nur mit dem Kopf
schütteln. Denn das Landgericht Stuttgart
hat Wiedeking im März 2016 vom Vorwurf
der Marktmanipulation freigesprochen. Was
in einem Rechtsstaat selbstverständlich mög-
lich sein sollte – Niederlage der Anklage, Sieg
des Beklagten – mutet in der Begründung
des Landgerichts sehr abenteuerlich an. Wie-
deking wurde aus Sicht des Gerichts „ein-
deutig“ freigesprochen, verbunden mit einer
massiven Kritik an der Staatsanwaltschaft .
An deren Vorwürfen sei nichts dran, „weder
vorne, noch hinten, noch in der Mitte“, so der
Vorsitzende Richter Frank Maurer (SZ vom
18.3.2016). Wie wenig reicht eigentlich der
Justiz aus, um ein solches Mammutverfahren
von sechs Jahren vom Zaun zu brechen? Wie
ist es denn zum Anfangsverdacht gekommen,
wer hat dort welche Informationen platziert?
Off ensichtlich war da ja wenig bis nichts dran,
es hat aber gereicht, um einen deutschen Spit-
zenmanager zum Rücktritt zu bringen und
seine Reputation schwer zu beschädigen.
Öffentlicher Pranger oder geschickte Inszenierung?
Wer im Einzelnen schuldig oder unschuldig ist, darüber
entscheiden in einem Rechtsstaat Gerichte. Und in den
meisten Fällen dürft en diese mit ihren Urteilen auch
richtig liegen. Das Problem liegt woanders. Gerichtsur-
teile sind nichts mehr wert, wenn die eigentliche Strafe an
anderer Stelle vollzogen wird. So sind die hier genannten
Beispiele zusammen mit den unzähligen ungenannten
auch ein Lehrstück über die Gnadenlosigkeit des öff ent-
lichen Prangers. Es ist ein schwer erträglicher Zustand,
dass die bloße Äußerung eines Verdachts, medial gut
verbreitet, eine unumkehrbare Entwicklung hervor-
rufen kann – selbst nach später erwiesener Unschuld.
Besonders perfi de wird das Ganze übrigens, wenn der
Beschuldigte selber hinter den Anschuldigungen steckt.
Denn mit einem gut dotierten Vertrag im Rücken,
einem schnellen Rücktritt nach dem öff entlichen Auf-
schrei der Empörung, um „Schaden vom Unternehmen“
zu nehmen und einer anschließenden guten Abfi ndung
lässt es sich ganz hervorragend leben, vor allem wenn
sich später die eigene Unschuld herausstellt und man
voll rehabilitiert wird. Aber das wusste man ja schon
vorher, schließlich hat man das Ganze ja auch selber
eingefädelt …
Compliance erfolgreich instrumentalisierenListig eingebunden sind in all diese Szenarien verschie-
dene Formen der Öff entlichkeit, ohne die es nicht geht.
Dazu gehören vor allem schlagzeilenhungrige Medien,
aber auch Ermittlungs- und Strafverfolgungsbehörden
oder Complianceverantwortliche (die bei bestimmten
Informationen einfach reagieren müssen, ebenso wie
beispielsweise Betriebsräte). Mit diesem Aufwand wird
sicher nicht um einen Sachbearbeiterjob gebuhlt. Hier
reichen kleinere Kaliber, um Compliance erfolgreich
zu instrumentalisieren. Spesenabrechnung, Tankquit-
tungen, privater Einsatz von Betriebsmitteln, der Vor-
wurf der Belästigung– schnell sind auch hier Gerüchte
um Complianceverfehlungen gestreut. Aber hier
steht nicht der Regelbruch im Vordergrund, sondern
die erwünschte Konsequenz der Sanktion – weg mit
dem Nebenbuhler und zack, her mit der freien Stelle.
Die Abgrenzung zum „einfachen“ Mobbing ist hier
fl ießend.
Kritik Psychologie
67comply. 3/2016 www.comply-online.de
Haben Intrige und Mobbing in Compliance ein neues Werkzeug gefunden? Diese bewusst rhetorisch formulierte Frage ist eindeu-
tig mit ja zu beantworten. Gerade wenn Compliance
als Legal Compliance Management System eingesetzt
wird und auf die Einhaltung von nationalen wie
internationalen Gesetzen, Vorschrift en, freiwilligen
Selbstverpfl ichtungen sowie internen Richtlinien
zielt, entsteht ein Dickicht von Regeln, das auch mit
gutem Willen kaum zu überblicken ist. Jeder wird
früher oder später gegen eine dieser Regeln versto-
ßen, selbst ohne Absicht. Wir sind Menschen, keine
Maschinen, für uns gilt immer noch die Aussage:
„Wer arbeitet, hat ein Recht auf Fehler!“ Wenn dann
eine 100%-Linie gefahren wird mit kompromisslosen
Restriktionen – übrigens eine Härte, die selbst unser
BGB oder StGB so nicht kennt – dann kann jederzeit
ein Restriktionsmechanismus angestoßen werden.
Wird dieser unterfüttert mit der Involvierung von
Öff entlichkeit oder Justiz, ist selbst bei Unschuld eine
vorverurteilende Sanktion bis hin zum Jobverlust,
wie geschildert, kaum noch zu vermeiden. Veröff ent-
lichter Regelbruch gehört zu den stärksten und vor
allem erfolgreichsten moralischen Druckmitteln, die
wir kennen.
Digitalisierung und Anonymität erhöhen auch die Missbrauchsgefahr Bekannt werden meist nur die prominenten Beispiele,
es bleibt der wissenschaft lichen Aufarbeitung vor-
behalten, Licht in die Dunkelziff er missbräuchlich
inszenierter Complianceverfehlungen zu bringen –
in allen gesellschaft lichen und politischen Ebenen.
Das Agieren im Dunkeln ist dabei ein interessantes
Stichwort. Vieles in unserem Leben ist mittlerweile
digital und virtuell. Die damit verbundene Anony-
mität ist ein idealer Nährboden sowohl für Regel-
brüche (Non-Compliance-Verhalten) als auch für die
Unterstellung derselben. Der heute Whistleblower
genannte Verbreiter von anonymen Informationen
wird in seiner Wirksamkeit von der digitalen Welt
massiv unterstützt. Eine Zeitungsredaktion oder ein
Betriebsratsbüro muss heute nicht mehr betreten wer-
den, um dort Informationen zu platzieren, per ano-
nymer Mail geht das viel schneller. Desinformation
ist im digitalen Zeitalter schneller und leichter prak-
tizierbar als früher und zudem befreit von der Not-
wendigkeit einer regionalen Präsenz. Das Paradoxe
daran: Die Ursachen kommen aus dem Verborgenen
und werden digital transportiert, die Konsequenzen
sind dagegen real. Denn wir ärgern uns noch immer
analog und in echt. Ändern wird sich das so schnell
nicht, denn wir Menschen haben gelernt, mit Wider-
sprüchen zu leben. So lieben wir den Verrat (weil er
mir Vorteile bringt), aber nicht den Verräter (weil
er auch mich verraten könnte). Im Rahmen unserer
neutralen und freien Presse heißt das dann „Quel-
len- und Informantenschutz“. Eine Schutzregel, die
der Autor ausdrücklich gutheißt. Aber eben auch die
nächste Regel, die regelmäßig zum Regelbruch ver-
führt – wegen der Anonymität und dem Verbleib im
Dunkeln.
Kritik
FAZIT
Die missbräuchliche Nutzung von Regel-
werken zum persönlichen Nutzen ist als
Methode sicherlich so alt wie die Mensch-
heit, was diese Art der Nutzung natürlich
nicht besser macht, sie bleibt unehrlich und
hinterhältig. Deshalb muss aufmerksam
gemahnt werden, wenn diese Vorgehens-
weise sich eines neuen Th emas, nämlich der
Compliance, bedient. Und neben der Mah-
nung sollten vor allem Gegenmaßnahmen
skizziert werden, die den Compliancemiss-
brauch entlarven können.
Deshalb hier zwei Tipps zur Vermeidung
von Compliancemissbrauch:
1 Für die zu Unrecht Beschuldigten
Keine Angst vor Öffentlichkeit: Die wichtigsten Schutzmechanis-men sind ähnliche wie die beim Mobbing – Öffentlichkeit her-stellen, involvierte Personen und Hintergründe offensiv benennen. (Anregungen z.B. in Meike Mül-lers Buch: „Lizenz zum Kontern“)
2 Für alle Beteiligten
W-Fragen stellen: Sich nichtsofort blindwütig auf die Infor-mation und auf den stürzen, um den es geht, sondern sich erst einmal mit dem Überbringer der Nachricht beschäftigen und sich dabei einige wichtige „W-Fragen“ stellen.
Warum diese Information jetzt?
Welchen Vorteil könnte der Überbringer persönlich haben?
Wer kann von den zu erwar-tenden Konsequenzen in welcher Weise profi tieren?
usw.
Also immer über die Information bezüglich einer Complianceverfehlung hinaus denken, nicht nur an die Verfeh-lung selber! Das macht die Aufarbeitung nicht leichter, aber manchmal ehrlicher.
Psychologie
Forum
68 www.comply-online.de comply. 3/2016
unternehmerischen Tuns ist, war das einheit-
liche Resümee der Runde: Nur so könne sich
die Compliance eines Unternehmens zum
Wettbewerbsvorteil entwickeln.
Nach der Podiumsdiskussion wurde den
über 230 Teilnehmern die Gelegenheit gebo-
ten, aus 14 Themenschwerpunkten heraus
Workshops, Vorträge und Praxis-Cases zu
besuchen.
Der Verbesserung der Informationsversor-
gung im Aufsichtsrat hat sich der Arbeitskreis
„Aufsichtsrat & Compliance“ um Prof. Dr. Sie-
pelt in Form des Praxis-Cases „Was muss der
Aufsichtsrat wann wissen?“ gewidmet. Mittels
aktueller „Good and bad practices“-Beispielen
aus der Wirtschaft wurden im Rahmen des
Workshops Fälle aufgegriffen, die zahlreiche
Ansatzpunkte zur Effektivitätssteigerung im
Rahmen der Informationsaufbereitung für
die Steuerungsgremien lieferten.
Collective Action, die Zusammenarbeit
mit anderen Firmen oder weiteren relevanten
Akteuren wie dem Staat und der Gesellschaft,
„Compliance – Integrität, Leadership und wirtschaftliche Erwartungen“
Der zweite Tag des DICO FORUMs begann
mit der Podiumsdiskussion unter der Mode-
ration von Dr. Thomas Lösler, Chief Com-
pliance Officer der Allianz SE. Hier nahmen
Otto Geiß, Leiter Compliance, Werte- und
Risikomanagement bei der Fraport AG, Prof.
Dr. Stephan Grüninger, Wissenschaftlicher
Direktor des Konstanz Institut für Corpo-
rate Governance, Dr. Anna-Maija Mertens,
Geschäftsführerin Transparency Deutsch-
land e.V. und Oliver Wieck, Generalsekretär
der internationalen Handelskammer (ICC)
Deutschland Stellung zum Thema: „Compli-
ance in der Klemme? – Integrity, Leadership &
Performance“. Dass Compliance ohne Ethik
auf Dauer nicht funktioniert und neben dem
handwerklichen Teil eines CMS Compliance
auch daran arbeiten muss, dass Ethik und
Moral der tiefere Kern der Motivation des
„Führen und Dirigieren“
Das diesjährige, dritte DICO Forum Compli-
ance wurde eingeläutet mit einer Keynote des
bekannten Dirigenten und ehemaligen Ber-
liner Philharmonikers, Prof. Gernot Schulz.
Unter dem Titel „Dirigieren und Führen“
wurde über den Bezug aus der orchestralen
Zusammenarbeit auf nahezu spielerische
Weise dargestellt, welchen Einfluss die
transparente, vertrauensbasierte Wertever-
mittlung durch Führungspersonen besitzt.
Eine gleichermaßen ungewöhnliche wie
eindrucksvolle Sicht auf das Thema „Füh-
rung“ wurde dem interessierten Publikum so
sehr eindeutig und multimedial anhand von
diversen Beispielen aus der musikalischen
Zusammenarbeit dargestellt. Am Ende des
ersten Tages wurde so dem Motto „Leader-
ship“ Rechnung getragen und auf die offene
und präzise Führung von Teams unter dem
Aspekt der Vermittlung gemeinsamer Werte
eingegangen.
3. DICO FORUM Compliance 201619 Themenschwerpunkte, über 30 Referenten, 2 Keynotes sowie eine Podiumsdiskussion mit bekannten nationalen und
internationalen Teilnehmern. Am 31. Mai und 1. Juni 2016 fand im Humboldt Carré das 3. DICO FORUM Compliance des
DICO – Deutsches Institut für Compliance e.V. statt. Leitthema der diesjährigen Veranstaltung war „Compliance – Integrität,
Leadership und wirtschaftliche Erwartungen“. Die über 230 Teilnehmer konnten zahlreiche Workshops, Praxis-Cases und
Vorträge besuchen, um über die jeweiligen Themenschwerpunkte zu diskutieren und wichtige Informationen für ihren
beruflichen Alltag mitzunehmen.
69comply. 3/2016 www.comply-online.de
eignet sich für international agierende Unter-
nehmen optimal, um den branchenüber-
greifenden Herausforderungen wie z.B. Due
Dilligence, Geschäft spartnercompliance und
Korruptionsbekämpfung zu begegnen.
Zusammen mit Gemma Aiolfi vom dem
Basel Insitute on Governance beschrieben die
Unternehmensvertreter Meinhard Remberg
und Georg Gößwein anhand eigener Erfah-
rungen den Weg zum „Level Playing Field“
und gaben den Teilnehmern eine Übersicht
über die bereits existierenden Aktionsbünd-
nisse sowie zahlreiche praktische Tipps und
Tricks mit auf dem Weg, auf welche Kriterien
Unternehmen zu achten haben, wenn man
mit dem Gedanken spielt, sich ebenfalls
einem solchen „Pakt“ anzuschließen.
Der neue DICO Arbeitskreis „Digitale
Transformation“ zeigte in seinem Workshop
„Compliance Red Flags mit Datenanalyse
auffi nden“ anhand von praktischen Beispielen
das Auffi nden von Fraud-Mustern in unter-
schiedlichen Datenquellen und die geeignete
Visualisierung der Ergebnisse. Da hier in der
Regel personenbezogene Daten verarbeitet
werden, sind einige organisatorische und
technische Hausaufgaben zu erledigen, die
aber schon lange kein Hexenwerk mehr sind
und die Unternehmen nicht von Datenanaly-
sen abhalten sollen.
Der Arbeitskreis „Kartellrecht“ stellte in
seinem Workshop „Kartellrechtliche Compli-
ance“ die kürzlich veröff entlichte DICO-Leit-
linie „Kartellrechtliche Compliance“ sowie
das zugehörige Beispiel-Regelwerk („Do’s &
Don’ts“) vor. Bei dem Regelwerk handelt es
sich um ein Co-Produkt von DICO und dem
Bundesverband für Materialwirtschaft , Ein-
kauf und Logistik e.V. (BME). Wesentliches
Durchsuchungsmaßnahmen vorbereiten
können und wie Fehler im Ernstfall vermie-
den werden. Techniken der Deeskalation, die
Kommunikation mit Ermittlungsbehörden,
der IT-Datenzugriff und der Umgang mit
Journalisten wurden ebenso behandelt wie
Verhaltensmaßregeln bei Durchsuchungen
ausländischer Ermittlungsbehörden.
„Zero Tolerance versus Amnestie“ lautete
der Praxis-Case des Arbeitskreises „HR“.
Dabei wurden die Fragestellungen „Welche
Zielkonfl ikte entstehen typischerweise, wenn
eine Zero-Tolerance-Politik als zunächst kla-
res Statement zu einer Compliance-Kultur
ausgerufen wurde?“ und „Kann die Glaub-
würdigkeit einer Unternehmenskultur stand-
halten, wenn behördliche Ermittlungen anste-
hen und die Aussagebereitschaft von Mitar-
beitern davon abhängig ist, dass diese z.B. ein
Amnestieprogramm als Schutz vor Sankti-
onen erwarten?“ aufgeworfen. Im Rahmen
einer Fallstudie, die fachlich vom Arbeitskreis
„Kartellrecht“ unterstützt wurde, wurde he-
rausgearbeitet, wie unter anderem Kronzeu-
genanträge zielführend für alle Beteiligten zu
behandeln sind.
Compliance im Datenschutz betrifft die
unterschiedlichsten Bereiche. Gerade bei der
Entwicklung, im Marketing und Sales wird
dies immer wieder deutlich. Potenzial, Risiken
und technische Anforderungen neuer Tools
und Dienstleistungen werden bis ins Detail
ausgearbeitet, die Rahmenbedingungen des
Datenschutzes aber häufi g zu spät bedacht.
Barbara Scheben Leiterin des Arbeitskreises
„Datenschutz“ erarbeitete daher im Rahmen
des Workshops „Privacy by Design? – Ich
will doch nur eine App!“ zusammen mit den
Teilnehmern, wie Datenschutz-Compliance
Ziel beider Dokumente ist es, Unternehmen
– vor allem kleinen und mittelständischen
Unternehmen – Hilfestellung bei der Errich-
tung und Fortentwicklung ihrer kartellrecht-
lichen Compliance-Programme zu geben.
Im Praxis-Case „Sportsponsoring“ zeigte
Dr. Carolin Spindler von der Deutschen
Telekom AG den Teilnehmern aus dem Daily
Business des Sportsponsorings zahlreiche
Maßnahmen zur Minderung von potenziellen
Compliance-Risiken beim Sponsoring auf.
Die Chancen und Risiken wurden hierbei
aus Sicht aller Beteiligten aufgezeigt und sehr
deutlich herausgearbeitet, dass eventuelle
Compliance-Risiken kein Hinderungsgrund
für ein erfolgreiche Sportsponsoring darstel-
len, wenn bestimmte Rahmenbedingungen
beachtet werden.
Im Workshop „Integrity and Leadership
– Key elements for successful anti-bribery“
präsentierte die Gründerin und Präsidentin
von TRACE International die schwierigsten
Anti-Korruptions-Herausforderungen, die
multinationale Unternehmen bewältigen
müssen. Dies verdeutlichte sie unter anderem
am Beispiel der Compliance-Kultur der FIFA,
bei der sie achtzehn Monate im Independent
Governance Committee saß.
Der Arbeitskreis „Strafrecht“ unter Lei-
tung von Rechtsanwalt Prof. Dr. Dierlamm
widmete seinen Workshop dem Th ema
„Durchsuchung – Konfrontation oder Koope-
ration?“. Im Rahmen dieses Workshops
wurden den Teilnehmern die wichtigsten
Vorbereitungsmaßnahmen aufgezeigt, um
fi nanzielle und Reputationsschäden für
das Unternehmen zu vermeiden. Anhand
zahlreicher Praxisbeispiele wurde sehr plas-
tisch vermittelt, wie sich Unternehmen auf
Forum
70 www.comply-online.de comply. 3/2016
Normadressatenstellung erfolgen sollte und
die Anbindung des Compliance-Offi cers an
das Organ betrachtet wird. Im Rahmen der
Beleuchtung der einzelnen Module des CMS
wurden den einzelnen Aspekten wie Risiko-
analyse, Whistleblowing, Personalauswahl,
Überwachungsaktivitäten, Mitarbeiter-Awa-
reness und Fortbildung, sowie Ahndung von
Verstößen und der Zertifi zierung von Com-
pliance-Systemen in dem anschaulichen Vor-
trag konsequent Rechnung getragen.
FAZIT
Es zeigt, dass DICO sich als Exper-
tennetzwerk über die Arbeit in den
Ausschüssen und Gremien noch
weiterentwickelt hat, aber auch, dass
jeder Einzelne mit seinem individu-
ellen Beitrag hierbei zählt. Auch in
diesem Jahr wurde den Teilnehmern
eine thematisch facettenreiche Aus-
wahl an Praxis-Cases, Workshops
und Vorträgen zum Th emenkreis
Compliance geboten. Sowohl inter-
nationale Vorträge als auch die
Beiträge der DICO Ausschüsse und
Arbeitskreise zeigten die Vielfalt und
Tiefe der Vernetzung von DICO auf,
von der seine Mitglieder inhaltlich
und persönlich profi tieren konnten.
Das nächste DICO Forum Compliance fi ndet
am 20. und 21. Juni 2017 in Berlin statt.
Ein Bericht von Kai Fain und Maike Scholz,
DICO – Deutsches Institut für Compliance e.V.,
Berlin
Weitere Infos unter:
www.dico-ev.de
Workshops wurden Hintergründe und erste
Erfahrungen berichtet und mit den Teilneh-
mern diskutiert.
Insbesondere aufgrund von vielfältigen
internationalen Sanktionen und Embargos
müssen vor allem international agierende
Unternehmen sicherstellen, dass sie im Rah-
men ihrer Vertriebswege nicht unmittelbar
oder mittelbar mit Personen und Gesellschaf-
ten in Kontakt kommen, die auf einer von
zahlreichen Sanktionslisten stehen. In der
Praxis ist es jedoch oft schwierig, unterneh-
mensinterne Systeme zu entwickeln, die den
hohen rechtlichen Anforderungen gerecht
werden und dabei praktikabel bleiben. Im
Rahmen des Workshops „Sanktionslisten-
screening – Rechtliche Herausforderungen
und praxistaugliche Lösungen“ stellte der
Arbeitskreis „Exportkontrolle“ seine Arbeit
sowie praktikable Lösungsansätze vor, die in
diesem Bereich ein höchstmögliches Maß an
Rechtssicherheit gewähren.
Begeisterung wird zu Recht als ein Motor
des unternehmerischen Erfolgs gesehen. Sie
soll helfen, Kooperation, Innovation und Pro-
duktivität in Unternehmen zu fördern. Wie
passt das zu Compliance, welche regelmäßig
mit Begriff en wie Bürokratie, Fehlern und
Haft ung assoziiert wird und unverzichtbarer
Bestandteil unternehmerischen Handelns
ist? Georg Gößwein hat zur Aufl ösung dieses
Widerspruchs Lösungen aus der Praxis für die
Praxis entwickelt, die er im Rahmen seines
Vortrags „Beyond conventional compliance –
Compliance als Führungsaufgabe aus Begeis-
terung!?“ den Teilnehmern vorstellte und in
einer angeregt und kontrovers geführten „Fish-
bowl Discussion“ gemeinsam auf die Probe
gestellt hat.
Abgeschlossen wurde das 3. DICO FORUM
Compliance durch die Keynote Speech
„Anforderungen an Compliance-Systeme“
von Dr. Rolf Raum, Vorsitzender des 1. Straf-
senats des BGH. Dr. Raum stellte den Teil-
nehmern die rechtliche Notwendigkeit von
Compliance-Systemen aus Sicht der Judikative
dar. Hierbei leitete er her, wie die im Rahmen
einer gerichtsfesten Organisation sowie einer
strafentlastenden Delegation die Übertragung
von Compliance-Aufgaben im Rahmen der
in den genannten Bereichen erfolgreich einge-
führt werden kann.
Der Arbeitskreis „Healthcare“ behandelte
in seinem Workshop „Korruptionsbekämp-
fung im Gesundheitswesen“ die geplanten
Straft atbestände der Bestechlichkeit und
Bestechung im Gesundheitswesen (§§ 299a,
299b StGB-E) und stellte die Auswirkungen
auf die Praxis in ausgewählten Bereichen vor.
Durch die charakteristische Interdisziplinari-
tät des Arbeitskreises wurden darüber hinaus
im Rahmen eines Ausblicks mögliche Anpas-
sungen in Referenzbereichen für die Teilneh-
mer dargestellt.
Aufgrund des besonderen Erfolges des
Workshops „Interviews – richtig gefragt,
rechtlich korrekt“ im vergangenen Jahr setzte
der Arbeitskreis „Interne Untersuchungen“
dieses Jahr auf dieser Th ematik auf: Mit
„Interne Untersuchungen: Vermeidung von
Verfahrensfehlern“ gaben die Referenten
einen fokussierten Einblick über mögliche
Stolpersteine im Rahmen von internen
Ermittlungen. Das Spektrum von der Pfl icht
zur Aufk lärung von Verdachtsfällen über die
Achtung der Persönlichkeitsrechte sowie der
Berücksichtigung des Datenschutzes bis hin
zur richtigen Formulierung von Strafanzei-
gen und der kooperativen Zusammenarbeit
mit den Behörden wurde im Rahmen dieses
Workshops vorgestellt und mit den Teilneh-
mern lebhaft diskutiert.
Der Arbeitskreis „Qualifi zierung und Trai-
nings“ stellte zusammen mit dem Deutschen
Global Compact Netzwerk im Workshop
„International ABC (Anti Bribery and Cor-
ruption)-Training for Hidden Champions“ ein
Trainingsprogramm vor, dass das Deutsche
Global Compact Netzwerk bereits erfolgreich
in Lateinamerika umgesetzt hat und dessen
Ziel es ist, die Compliance-Fähigkeiten deut-
scher Unternehmen vor Ort zu erhöhen. Dem
Ziel, kleine und mittelgroße Unternehmen
dabei zu unterstützen, wirksame Systeme zur
Korruptionsprävention zu entwickeln und
umzusetzen, dient auch die Ausdehnung des
Projekts auf Deutschland. Hier werden Schu-
lungen über ausgewählte IHKs angeboten, bei
deren Ausgestaltung und Umsetzung DICO
maßgeblich unterstützt. Im Rahmen des
71comply. 3/2016 www.comply-online.de
www.aw-portal.de
Themenkatalog 2016 > Außenwirtschaft Bundesanzeiger Verlag
AUS DEM INHALT
Online oder CD-ROM, Jahresabonnement, inkl. integrierter Aktuali-sierung ab „Einzelplatzlizenz“, weitere Lizenzen auf Anfrage
lieferbar
Bundesamt für Wirtschaft und Ausfuhrkontrolle – BAFA (Hrsg.)HADDEX-Sanktionslisten CD-ROM
Tägliche Überprüfung der Quellen (EU-Amtsblätter, Bundesanzeiger, US-Listen, jap. METI-Liste u.a.)
Datenaufbereitung + Aktualisierung über die integrierte Downloadfunktion nach E-Mail vom Bundesanzeiger
tagesaktueller Datenstand
Herausgegeben vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA)
Dateneinbindung in eigene Software möglich (Mehrplatzlizenz erforderlich)
Einfache und schnelle Recherche
Elektronische Dokumentation der Recherche möglich
Geschäfte mit sanktionierten Personen und Institutionen sind nach nationalem Recht unter Strafe gestellt. Die Konse-quenzen daraus reichen von wirtschaftlichen Geldbußen bis hin zum Freiheitsentzug.
Vermeiden Sie negative Auswirkungen schon im Vorfeld!
Durch die Kontrolle anhand der „HADDEX-Sanktionslisten“ sind Sie sicher, keine Personen oder Institutionen zu beliefern, gegen die Sanktionsmaßnahmen des Gesetzgebers bestehen.
Die Einträge der „HADDEX-Sanktionslisten“ basieren auf den entsprechenden EU-Verordnungen und Veröffentlichungen im Bundesanzeiger. Sie werden ergänzt durch die vom U.S.-Department of Commerce zur Prüfung empfohlenen Listen sowie durch weitere nationale Listen. Die Einträge werden kontinuierlich aktualisiert und sorgfältig aufbereitet. Sie können mehrere Namen (Alias) und Adressen umfassen, so dass Sie auf eine größtmögliche Anzahl an Recherchemöglichkeiten zurückgreifen können.
BESCHREIBUNG
HINWEIS DATENFORMATE
DOWNLOADCENTERsiehe Seiten 4+5
HADDEXHandbuch der deutschen Exportkontrolle
ISBN 978-3-89817-356-8
Nationales und internationales Exportkontrollrecht
Außenwirtschaft
2012 © Bundesanzeiger Verlag, Köln · Alle Urheber- und Leistungsschutzrechte vorbehalten. Keine unerla
ubte Verv
ielfä
ltigu
ng.
Sanktionslisten
herausgegeben vom
Sie benötigen die Sanktionslisten in einem anderen Ausgabeformat?
1. Unter www.aw-portal.de können Sie im Downloadcenter die Sanktionslisten als „Datenservice Sanktionslisten“ ab einer Stand-ortlizenz zur automatisierten Weiterverarbeitung herunterladen.
2. Wenn Sie auf die komfortablen Funktionalitäten der „HADDEX-Sanktionslisten CD-ROM“ nicht verzichten wollen, stehen Ihnen als Web-Anwendung die „Sanktionslisten“ unter www.aw-portal.de zur Verfügung.
VORTEILE
• EU-Finanzsanktionen
• Veröffentlichungen im Bundesanzeiger
• Vom U.S.-Department of Commerce zur Prüfung empfohlene Listen
• Liste des Vereinigten Königreichs (HMT Her Majesty‘s Treasury)
• Japanische Liste: Japanese End User List METI (Ministry of Economy, Trade and Industry)
• Australische Liste: Australia DFAT (Department of Foreign Affairs and Trade)
• Kanadische Liste: OSFI (Office of the Superintendent of Financial Institutions)
• Schweizer SECO-Liste
www.aw-portal.de/haddex-sanktionslisten
WEITERE INFOS UND
BESTELLMÖGLICHKEIT
TECHNIK:Jens Schotte; Tel.: (0 64 31) 28 91-33E-Mail: [email protected]
VERTRIEB: Volker Herberth; Tel.: (02 21) 9 76 68-280 E-Mail: [email protected]
Für den AEO unerlässlich: die Kontrolle gegen die Sanktionslisten!
72
Rezension
Lesenswertes für Compliance-Verantwortliche
In der vierten Edition der Leitlinien zur Nachhal-
tigkeitsberichterstattung bietet die Global Reporting
Initiative (GRI) mit ihren Guidelines überarbeitete
Berichterstattungsgrundsätze, Standardangaben und
eine Umsetzungsanleitung an. Sabrautzky und Hob-
belhagen greifen die GRI-Leitlinien auf und schaff en
mit ihrem Handbuch Kennzahlen der G4 Leitlinien
zur Nachhaltigkeitsberichterstattung ein Nachschla-
gewerk für Praktiker. Der Untertitel Praxis-Leit-
faden: Alle spezifi schen Standardangaben der G4
Leitlinien leicht und mit Beispielen erklärt, gewährt
dem Leser einen präzisen Ausblick in das Handbuch
– auf der Grundlage der G4 Leitlinien werden mit
Hilfe von gleichbleibenden Mustern alle spezifi schen
Standardangaben aufgeschlüsselt und übersichtlich
dargestellt. Neben einer chronologischen Zusam-
menfassung der spezifi schen Standardangaben der
G4 Leitlinien, die gleichzeitig als Inhaltsverzeichnis
fungiert, fi nden sich Grundlagen zur Ausführung der
Leitlinien und weitere Informationen zu verwandten
Kodizes, die die Leitfäden umklammern.
Bei der Erstellung von Nachhaltigkeitsberichten gilt
es dabei drei grundlegende Th emengebiete voneinander
zu unterscheiden: Zum einen die wirtschaft liche und
die ökologische Komponente. Beim dritten Oberbegriff
werden soziale bzw. gesellschaft liche Fragestellungen
behandelt, die in die Unterthemen Arbeitspraktiken,
Menschenrechte, Gesellschaft und Produktverantwor-
tung aufgeteilt sind. Alle Bereiche werden entsprechend
der Reihenfolge der G4 Leitlinie dargelegt.
Angefangen bei dem Aspekt der jeweiligen Standard-
angaben wird dazu die Relevanz der Oberbegriff e
zusammengefasst, um dann mit einer praktischen
Formel zur übersichtlichen Orientierungshilfe über-
zugehen. Abgerundet werden die entsprechenden
Aufstellungen mit wertvollen Verhältniskennzahlen
und direkten Querverweisen zu den G4 Leitlinien.
Durch die konsequente Einhaltung des Schemas
wird sowohl ein schneller Einstieg in alle Bereiche
der Leitlinie möglich gemacht als auch die direkte
Vergleichbarkeit der einzelnen Standardangaben
gewährleitstet.
Tipp für Compliance Manager:Compliance Manager, die auf der Suche nach einem
Schlüssel zu den spezifi schen Standardangaben der
G4 Leitlinien zur Nachhaltigkeit sind, werden hier
fündig. Alle einzelnen Codes der Guidelines wer-
den für den praxisbezogenen Einsatz übersetzt und
können direkt umgesetzt werden. Durch die objek-
tiv gehaltene Form eignet sich der Praxis-Leitfaden
zudem für die Erstellung von Nachhaltigkeitsberich-
ten aller Organisationen, unabhängig von Größe,
Branche oder Standort.
Alexander Matuk, LL.M.
Viadrina Compliance Center
Kennzahlen der G4 Leitlinien zur Nachhaltigkeitsberichterstattung,
Thorsten Sabrautzky/Frode Hobbelhagen, Books on Demand, 2016, 120 Seiten, 29,90 €
ISBN 978-3-842-35822-5
www.comply-online.de comply. 3/2016
Rezension
hinaus enthält das Werk Checklisten, die Überprüfun-
gen ermöglichen, ob das Unternehmen die Compli-
ance-Anforderungen von ISO 19600 erfüllt. Es eignet
sich somit bestens für Personen, die ein CMS erstmalig
einführen, als auch für solche, die ein bereits existier-
endes System evaluieren möchten.
Tipp für Compliance Manager:Das Buch ist ein wertvolles Werkzeug zur Kontrolle,
wie ein CMS nach ISO 19600 entwickelt, implemen-
tiert, aufrechterhalten und verbessert werden kann.
Es eignet sich diesbezüglich besonders gut für Com-
pliance Manager, die sich einen Überblick über die
einheitlichen Rahmenbedingungen für CMS nach ISO
19600 verschaff en wollen. Es kann auch als ein tägli-
ches Arbeitswerkzeug eingesetzt werden, um beste-
hende Systeme zu evaluieren.
Mag.-iur. Agata Adamowicz, LL.B.
Viadrina Compliance Center (VCC)
Die Norm ISO 19600, die im Herbst 2016 als eine
deutsche DIN-Norm veröff entlicht wird, stellt einen
globalen Standard dar, mit dessen Hilfe die Regeln
zur Gestaltung von Compliance Management-Sys-
temen vereinheitlicht wurden. Durch das Werk von
Prof. Fissenewert erhält der Compliance-Beauft ragte
einen komplexen Überblick sowohl über Inhalte und
Grundsätze von ISO 19600 als auch über die Möglich-
keit der Zertifi zierung eines CMS nach dieser Norm.
Außerdem wird praxisnah behandelt, was für einen
erfolgreichen Nachweis eines CMS nach der Norm
zu beachten ist. Ein logischer und gut strukturierter
Aufb au des Buches hilft beim Verständnis der Prob-
lematik. Aufgrund von vielen praktischen Hinweisen
ist diese Publikation zum Nachschlagen gut geeignet.
Der Mehrwert des Buches liegt in der Praxisnähe und
Fokussierung auf die Th ematik, wie ein solches System
in der Praxis funktionieren kann. Außerdem wird von
dem angesehenen Spezialist das Wissen vermittelt, was
ISO 19600 für Unternehmen im Vergleich zu natio-
nalen CMS-Standards wie IDW PS 980 leistet. Darüber
PraxishandbuchInternationale Compliance-Management-SystemeGrundsätze – Checklisten – Zertifi zierung gemäß ISO 19600
Prof. Dr. Peter Fissenewert
Erich Schmidt Verlag,2015, 292 S., ca. 49, 95 €
ISBN 978-3-503-16329-8
© E
rwin
Wod
icka
- Sh
otsh
op.d
e
U N I V E R S I T Ä R E R Z E R T I F I K AT S K U R S
Compliance Officer (Univ.)Nächster Starttermin des 10-tägigen Zertifikatskurses: 07. Oktober 2016Weitere Informationen unter: www.zww.uni-augsburg.de/compliance
ZWW - Weil ich‘s wissen will
Name Deutsches Institut für Compliance (DICO) Bundesverband der Compliance Manager (BCM)
Internetseite www.dico-ev.de www.bvdcm.de
E-mail [email protected] [email protected]
Sitz Berlin Berlin
Gründungsjahr 2012 2013
Rechtsform Verein Verein
LeitungDr. Rainer Markfort (Stellvertretender Sprecher des Vorstandes)
Mirko Haase (Präsident)
Zielsetzung die Förderung der Wissenschaft und Forschung sowie der Aus- und Fortbildung auf dem Gebiet der Compliance.
die Förderung der Berufsgruppe der Compliance Manager in Unternehme Verbänden, Non-profit-Organisationen und vergleichbaren Institutionen.
die Vertretung der wirtschaftlichen und berufsständischen Interessen der Compliance Manager gegenüber Politik, Wirtschaft, Medien und Zivilgesellschaft.
Schwerpunkte
Forschung zur Entwicklung von allgemeingültigen Compliance-Standards und Erarbeitung von Compliance-Maßnahmen zur unentgeltlichen Verwendung in privaten und öffentlichen Unternehmungen,
Entwicklung von Programmen für Schulungen sowie Aus- und Fortbildungen von Compliance-Personal,
Weiterbildung auf dem Gebiet der Compliance durch Seminare, Vorträge, Konferenzen und Workshops,
unentgeltliche Information der Allgemeinheit und Institutionen im Hinblick auf die Aufgaben, Funktionsweisen und die Umsetzung von Compliance sowie der Einrichtung der Compliance-Funktion,
Aufbau und Pflege des Erfahrungsaustauschs zwischen Praxis und Wissenschaft auf nationaler und internationaler Ebene durch Vorträge und Diskussionen in Ausschüssen, Arbeitskreisen, Seminaren und Tagungen,
Herausgabe von wissenschaftlichem Schrifttum und Fachpublikationen auf dem Gebiet der Compliance sowie die Förderung von Autorenbeiträgen.
Schaffung der Möglichkeit zur Vernetzung und zum Erfahrungsaustausch,
Fort- und Weiterbildung,
die Förderung des qualifizierten Nachwuchses,
Veröffentlichungen,
die Teilnahme am öffentlichen und wissenschaftlichen Diskurs,
die Erhaltung und Pflege des Ansehens und der Anerkennung des Berufsstandes,
die Pflege internationaler Kontakte.
Mitgliederzahl über 180 700
Mitgliederform
Natürliche sowie juristische Personen. Natürliche Personen, die in Unternehmen, Verbänden,
Non-profit-Organisationen und vergleichbaren Institutionen mit der Wahrnehmung von Compliance-Themen beauftragt sind.
Mitgliedsbeitrag
Einzelmitglied: 100 Euro/Jahr Firmen können je nach Größe bis zu sechs Vertreter als DICO-Mitglieder anmelden:
50 Mitarbeiter: 250 Euro/Jahr (2 Vertreter),
51-100 Mitarbeiter: 500 Euro/Jahr (3 Vertreter),
101-150: 1.000 Euro/Jahr (4 Vertreter),
151-2.000: 1.500 Euro/Jahr (5 Vertreter),
ab 2.000 Mitarbeiter: 2.500 Euro/Jahr (6 Vertreter).
130 Euro pro Kalenderjahr
Hauptevents
Jährlich stattfindetes DICO FORUM Compliance,
die Veranstaltungsreihe DICO Talk.
Bundeskongress Compliance Management,
die Seminarreihe „BCM Campus Days“,
die Veranstaltungsreihe „BCM Coaching Days“,
Nachwuchsförderpreis – jährliche Auszeichnung herausragender Abschlussarbeiten, die sich wissenschaftlich forschend Compliance-Themen zuwenden.
Unter- gliederungen
Ausschüsse, Arbeitskreise und Projektgruppen Regionalgruppen und Fachgruppen
Haupt-maßnahmen
Veröffentlichung von Leitlinien, Arbeits- und Informationspapieren sowie anderen Studien zum Thema Compliance, z.B. DICO Leitlinie zur Geschäftspartner-Compliance, DICO Risikokatalog
§ Das Fachmagazin „Compliance Manager“– das offizielle Magazin des Berufsverbands der Compliance Manager,
§ Serviceleistungen:
der unterschiedlichen Aufgabengebiete eines Compliance Managers,
Manager BCM Intranet,
Service Guide Compliance Verbände
Deutsches Ins�tut für Compliance
Bundesverband Deutscher Compliance Officer e.V. (BDCO) Netzwerk Compliance e.V.
www.bdco.de www.netzwerk-compliance.de
[email protected] [email protected]
Frankfurt am Main München
2012 2007
Verein Verein
Vorstand Dr. Reinhard Preusche (Vorsitzender des Vorstands)
die Förderung der Wissenschaft und Forschung,
die Förderung der Berufsbildung,
die Förderung der Kriminalprävention auf dem Gebiet Compliance.
Diskussion rechtlicher, wirtschaftlicher und organisatorischer Fragen zu den Themen Compliance und Best Practice zwischen Industrieunternehmen, Banken, Versicherungen sowie interessierten natürlichen und juristischen Personen,
Aufbau und Pflege politischer Kontakte,
Ausrichtung von Veranstaltungen zur Weiterbildung.
Die Forschung und Durchführung von Forschungsvorhaben zu Compliance.
Die Information und Unterstützung von (gemeinnützigen) Behörden im Hinblick auf die Aufgaben, Funktionsweisen, Errichtung und Umsetzung von Compliance-Funktionen.
Förderung bei der Prävention von Straftaten und Ordnungswidrigkeiten durch Stärkung der Rechtstreue und des Verantwortungsbewusstseins.
Erstellung von Programmen für Schulungen sowie Aus- und Fortbildungen von Compliance-Personal und sonstiger Interessierter.
Erstellung Herausgabe und Förderung von wissenschaftlichen und fachlichen Erfahrungsaustausches zwischen Praxis und Wissenschaft durch Vorträge, Diskussionen und Arbeitskreise.
Beziehungen zu Organen der Rechtssetzung auf nationaler und internationaler Ebene.
Erstellung unentgeltlicher Stellungnahmen zu rechtspolitischen oder sonstigen Fragen auf dem Gebiet der Compliance.
Förderung des Erfahrungsaustauschs unter den führenden Unternehmen in Deutschland,
Diskussion über aktuelle Herausforderungen,
Wissensvermittlung, die die Vermeidung von großen Skandalen bezweckt.
über 200
Ordentliche Mitglieder – natürliche Personen,
Informationsmitglieder – natürliche sowie juristische Personen
Natürliche und juristische Personen,
Juristische Personen werden durch eine berechtigte Person vertreten.
die Art und Höhe der Beiträge wird für jedes Kalenderjahr durch die Mitgliederversammlung in Form eines Beschlusses bestimmt.
ein Jahresbeitrag für Unternehmen oder Personen, deren Zweck an Compliance-Beratung, Compliance-Training, Zertifizierung oder die Vermarktung von Compliance-Produkten gerichtet ist: 500 € .
Compliance-Tag,
Konferenzen,
Vorträge.
Vortragsveranstaltungen zu aktuellen Themen, die zweimal im Jahr (Frühling und Herbst) stattfinden
Arbeitskreise Arbeitsgruppen für größere Themen
Fachpublikationen,
Stellungnahmen,
Wissenschaftliche Beiträge,
Vorträge,
Diskussionen.
Vorträge, Diskussionen über aktuelle Themen
Service GuideCompliance Verbände
www.comply-online.de comply. 3/201676
Firma Anschrift PLZ Ort Web
2B Advice GmbH Joseph-Schumpeter-Allee 25 53227 Bonn www.2b-advice.com
2net® Carsten Lang Am Rosenanger 79 13465 Berlin www.sidoc.info
AEB Gesellschaft zur Entwicklung von Branchen-Software mbH Julius-Hölder-Straße 39 70597 Stuttgart www.aeb.de
Antares Informations-Systeme GmbH Stuttgarter Straße 99 73312 Geislingen www.antares-is.de
AOB GmbH Kurze Straße 19–21 59494 Soest www.aob-consulting.de
audicon GmbH Aachener Straße 75 50931 Köln audicon.net
Bisnode Deutschland GmbH Robert-Bosch-Str. 11 64293 Darmstadt www.bisnode.de
Bundesanzeiger Verlag GmbHAmsterdamer Str. 192
Kornmarkt 9
50735
65549
Köln
Limburg
www.bundesanzeiger-verlag.de
www.aw-portal.de/ datenbankdownloads
BWise Germany GmbH Kaiserswerther Straße 115 40880 Ratingen www.bwise.com
bytes-business Kleiner Moorweg 10 25436 Tornesch www.bytes-business.de
calpane business consulting gmbh Blumauerstraße 43 A-4020 Linz www.calpana.com
Consist Software Solutions GmbH Falklandstraße 1–3 24159 Kiel www.consist.de
Contact Software GmbH Wiener Straße 1–3 28359 Bremen www.contact-software.com
CONTECHNET Ltd. Mehrumer Straße 8 c + d 31319 Sehnde www.contechnet.de
Contelligence GmbH Nevinghoff 12 48147 Münster www.contelligence-solutions.de
CWA GmbH Korbmacher Weg 3 28865 Lilienthal www.cwa.de
DAKOSY Datenkommunikationssystem AG Mattentwiete 2 20457 Hamburg www.dakosy.de
dbh Logistics IT AG Martinistr. 47-49 28195 Bremen www.dbh.de
Decisio Management Consulting GmbH Rotenburger Straße 28 30659 Hannover www.decisio.de
DHC Buisness Solutions GmbH & Co. KG Landwehrplatz 6–7 66111 Saarbrücken www.dhc-gmbh.com
digital spirit GmbH Markgrafenstraße 62/63 10969 Berlin www.digital-spirit.de
Dow Jones News GmbH Schiffbauerdamm 40 10117 Berlin new.dowjones.com
dsbbrain2000.de Am Ziegelgrund 28 01744 Dippoldiswalde www.dsbbrain2000.de
Frred Software GmbH Wilhelmstraße 24a 79098 Freiburg www.frred.com
GRC Partner GmbH Schauenburgerstraße 116 24118 Kiel www.grc-partner.de
Haufe-Lexware GmbH & Co. KG Münzinger Straße 9 79111 Freiburg www.haufe.de
HiScout GmbH Bouchéstraße 12 12435 Berlin www.hiscout.com
Übersicht CM-Software
* Diese Angaben sind ohne Gewähr.
Service Guide CM-Software
77comply. 3/2016 www.comply-online.de
Service Guide
Firma Anschrift PLZ Ort Web
ISO Software Systeme GmbH Strahlenbergerstr. 110 63067 Offenbach am Main www.isogmbh.de
ibi Systems GmbH Schäffnerstraße 29 93047 Regensburg www.ibi-systems.de
INFODAS GmbH Rhonestr. 2 50765 Köln www.infodas.de
ITM Infor-Tele-Matik AG Wirtschaftspark 59 9492 Eschen www.itm.li
Kewill GmbH Norsk-Data-Straße 1 61352 Bad Homburg v.d.H. www.kewill.com
Kronsoft e.K. Schillerstraße 10 66564 Ottweiler www.kronsoft.de
LexisNexis GmbH Heerdter Sandberg 30 40549 Düsseldorf www.lexisnexis.com
M.I.T e-Solutions Am Zollstock 1 61381 Friedrichsdorf www.mit.de
Martin Mantz GmbH Hansaring 8 63843 Niedernberg www.martin-mantz.de
OPTIMAL SYSTEMS GmbH Cicerostraße 26 10709 Berlin www.optimal-systems.de
Opture GmbH Hasenhöhe 94 22587 Hamburg www.opture.com
Otris Software AG Königswall 21 44137 Dortmund www.privacyguard.de
parcIT GmbH Bayenwerft 12 50678 Köln www.parcit.de
Perceptive Software Deutschland GmbH Steinplatz 2 10623 Berlin www.saperion.com
ReviSEC Nahblöcken 3 27299 Langwedel www.revisec-datenschutz.de
QE LaB Business Services GmbH Technikerstraße 21a A-6020 Innsbruck www.qe-lab.com
Rausoft GmbH Böblinger Strasse 25 71229 Leonberg www.idprove.de
RiskNET GmbH Ganghofer Straße 43a/b 83098 Brannenburg www.risknet.de
SAP Deutschland AG & Co. KG Hasso-Plattner-Ring 7 69190 Walldorf www.sap.com
Secure IT Consult Hücheler Ring 25 53773 Hennef www.secure-it-consult.com
SerNet GmbH Bahnhofsallee 1b 37081 Göttingen www.verinice.org
synetics GmbH Hildebrandtstraße 4d 40215 Düsseldorf www.i-doit.com
WEKA MEDIA GmbH & Co. KG Römerstraße 4 86438 Kissing www.weka.de
CM-Software
Firmeneinträge
78 www.comply-online.de comply. 3/2016
Firmenprofil
Die Rausoft GmbH ist ein renommiertes
Software-Entwicklungshaus aus dem Groß-
raum Stuttgart, das seit 2004 darauf speziali-
siert ist, Unternehmen bei der Durchführung
von Sanktionslistenprüfungen im Rahmen
der EG-Antiterrorismus-Verordnung und
bei der AEO-Zertifizierung zu unterstützen.
Hierfür wurde die Software lösung ID.prove
entwickelt, die bereits Europa- und Weltweit
in Unternehmen aller Größen und Branchen
erfolgreich im Einsatz ist. Perfekte Qualität,
einfache Bedienung und bester Service zu
fairen Preisen stehen bei der Rausoft GmbH
an erster Stelle.
Leistungsspektrum / Produktangebote / Referenzen
ID.prove ist eine spezialisierte Software-
lösung, die Sie bei der Einhaltung von
Finanzembargos (EU, US, PEP) unterstützt.
Alle Prüfvorgänge gegen die aktuellen Sank-
tionslisten können automatisiert im Hin-
tergrund ausgeführt werden. Die dabei ver-
wendeten Suchalgorithmen wurden für
Ermittlungsbehörden aus dem Bereich Wirt-
schaftskriminalität entwickelt und bieten
Ihnen neben der Sicherheit nichts zu „über-
sehen“ eine minimale Nachbearbeitungs-
quote.
Ihre Vorteile
Bei der Entwicklung von ID.prove wurde
ganz besonders auf die folgenden Punkte
Wert gelegt:
100 % Einhaltung der gesetzlichen
Vorgaben
geringste Anpassung der bestehenden
Geschäftsprozesse
Absolute Kostentransparenz
Einfachste Bedienung und geringe
Bearbeitungszeit
Sicherheit & Datenschutz
Die Prüfung Ihrer Daten erfolgt mit ID.prove
auf Ihrem PC bzw. Netzwerk, Sie verlassen
somit garantiert nicht Ihr Unternehmen.
Durch die Benutzer- und Gruppensteuerung
sehen nur berechtigte Mitarbeiter die ent-
sprechenden Informationen.
Ihre sensiblen Daten verlassen nie Ihr
Unternehmen und können nicht von
Dritten eingesehen werden
100 % Datenschutzkonform
Revisionssichere Protokollierung
4-Augen-Prüfprinzip
Integration in Ihre Systemlandschaft
Ob als Einzelplatz oder in Ihr ERP-System
integriert. ID.prove hat für jede Umgebung
eine passende Schnittstelle:
Universal ERP-Schnittstelle
Einzelplatz, Mehrplatz
Intranet-Lösung für Einsatz im
Web browser ohne Installation
Einzel- & Batchprüfungen
Modularer Aufbau
Einfache Konfiguration
Virtueller Server
Kosten
Für alle ID.prove Lizenzmodelle gilt
eine vollständige Kostentransparenz.
Die Software wird bei Ihnen installiert –
es gibt keinerlei Volumenbeschränkungen.
Einmaliger Software-Kaufpreis
Preis ist unabhängig von der Anzahl der
zu prüfenden Datensätze
Installation und Schulung durch unser
Support-Team zum fairen Festpreis
Beste Prüfalgorithmen garantieren eine
geringe Treffernachbearbeitung.
Intuitive Bedienung der Software –
dadurch minimaler Schulungsaufwand
Keine wiederkehrende Prüfung bereits
klassifizierter Treffer (Whitelist / ID.prove
Deltalogic)
Extras
ID.prove beinhaltet zusätzliche Funktionen
und Hilfsmittel, die Ihnen Ihre tägliche
Arbeit erleichtern.
Umsatzsteuer-Ident-Prüfung
Einzel- und Batchprüfung auch von Deut-
schen USt-Ident-Nummern.
TARIC Abfrage
Information zu Länderembargos
PEP-Listen Integration
Eigene Blacklist
Prüfverfahren
ID.prove bietet für jede Situation das pas-
sende Prüfverfahren mit spezialisierten und
anpassbaren Suchalgorithmen.
ID.prove Matching Algorithmus
ID.prove Fuzzy – Suche
ID.prove Phonetik – Suche
ID.prove Deltalogic
ID.prove IntelliADR
Weitere Programmfunktionen
ODBC-Schnittstelle
Webservice-Schnittstelle
RFC-Schnittstelle
Dateischnittstellen
Terminalserver / Citrix
Einzelabfragen / Batchprüfung
Webclient / Intranet
Online-Integration (Webshop)
SAP Integration
Trefferrouting
Blacklist / Whitelist
Protokollfunktion
Multi-Job fähig
High-Performance-Screening
Preissegment
ab 795,-€ (einmalige Softwarekosten)
ID.prove volumenunabhängige Inhouse-Lösung.
Die gesetzlich geforderte Sanktionslisten sind kostenfrei.
Referenzen
Über 1.000 Installationen weltweit bei Unternehmen und Konzernen,
völlig branchen- als auch größenunabhängig.
z.B.: Deutsche Lufthansa Versicherung, Agility Logistics, Apetito
Testen Sie ID.provekostenlos und unverbindlich
www.idprove.de
Rausoft GmbH
Anschrift: Böblinger Strasse 25
71229 Leonberg
Telefon: +49 (0) 7152 / 31 961 - 0
Fax: +49 (0) 7152 / 31 961 - 90
E-Mail: [email protected]
Internet: www.idprove.de
Software
Firmeneinträge
79comply. 3/2016 www.comply-online.de
Firmenprofil
Wir digitalisieren die Lieferketten dieser Welt.
dbh Logistics IT AG (dbh) ist einer der führen-
den Experten für Software und Beratung in
den Bereichen Zoll und Außenhandel, Com-
pliance, Transportmanagement, Hafenwirt-
schaft, SAP und Rechenzentrumslösungen.
Mit mehr als 40 Jahren Erfahrung entwickeln
wir Branchenlösungen für Industrie und
Handel, Spedition und Logistik sowie Schiff-
fahrt und Hafen.
Das Portfolio reicht von Beratung und
Konzeption über Entwicklung und Umset-
zung bis hin zu Hosting und Support. In
den hauseigenen Rechenzentren in Bremen
betreibt dbh sowohl einzelne Anwendungen
als auch komplexe IT-Infrastrukturen und
SAP-Systeme.
dbh wurde 1973 gegründet und beschäf-
tigt deutschlandweit rund 170 Mitarbeiter.
Neben dem Stammsitz in Bremen unterhält
das Unternehmen weitere Standorte in ganz
Deutschland.
Mehr Informationen: www.dbh.de
Leistungsspektrum / Produktangebote / Referenzen
Software, in deren Code
Globalisierung steckt
Das Produktportfolio für Zoll und Außen-
handel ist dank zertifizierter Software bestens
für den globalen Handel geeignet. Wichtigstes
Merkmal ist der modulare Aufbau. Mit stan-
dardisierten Schnittstellen wird die Kompa-
tibilität zu gängigen ERP- (z. B. SAP) und
WMS-Systemen sichergestellt.
Auf Nummer sicher gehen
Die Themen Sicherheit und rechtskon-
formes Handeln spielen im großen Kontext
von Compliance Management eine immer
größere Rolle. Hierbei sind nicht nur zahl-
reiche Regelungen zu berücksichtigen, son-
dern diese sind auch noch regelmäßigen
Änderungen unterworfen.
Wichtig zu wissen: Es sind sowohl Außen-
handelsgeschäfte als auch alle anderen
Geschäfte und Geschäftskontakte eines
Unternehmens betroffen. Regelungen gibt
es sowohl für Waren, Software und Techno-
logie (zusammengefasst unter dem Begriff
„Güter“), als auch für Handels- und Ver-
mittlungsgeschäfte („Brokering“).
Erfolgreiches Compliance & Risk Manage-
ment, das bedeutet alle national und inter-
national geltenden Handelsbeschränkungen
und Sanktionen immer im Blick zu behal-
ten. Als Softwarelösung bieten wir Advan-
tage Compliance an. Das Produkt verfügt
derzeit über drei Module:
Sanktionslistenprüfung: Prü-
fen Sie Ihre Geschäftskontakte tagesaktuell
gegen Anti-Terrorlisten, u. a. der EU, USA
und Schweiz (Bundesanzeiger Content).
Exportkontrolle: Geltende Total-,
Teil- und Waffenembargos automatisch
berücksichtigen und Handelsbeschrän-
kungen erkennen.
Tarifierung: Intelligente Unter-
stützung zum Einreihen von Waren in den
Zolltarif.
Unsere Software verbindet
Als zertifizierter SAP-Servicepartner kön-
nen wir auf den Kunden zugeschnittene
Beratungsleitungen im gesamten SAP-Um-
feld anbieten.
Hinzu kommen verschiedene SAP-Erweite-
rungen in Form von Plug-ins zur Abwick-
lung von Zoll- und Außenhandelspro-
zessen. Dazu gehören natürlich auch die
Compliance Plug-ins zur Sanktionslisten-
prüfung, Exportkontrolle und Tarifierung
in SAP.
Experten für Logistik-IT seit 1973
Unser Unternehmen verfügt über mehr als
vierzig Jahre Erfahrung in der Logistik-IT
sowie fundiertes Branchen-Know-how
und Expertenwissen aus den Bereichen
Zoll, Compliance, Spedition, Hafenwirt-
schaft, SAP und Rechenzentrumslösungen.
Wir übernehmen die gesamte Projektab-
wicklung bis hin zur Schulung Ihrer Mit-
arbeiter.
Die dbh-eigenen, ISO 27001 zertifi-
zierten Rechenzentren orientieren sich
an höchsten internationalen Standards
zu Ausfall- und Datensicherheit. Auch der
technische und fachliche Kundensupport
wird von qualifizierten eigenen Mitarbei-
tern geleistet.
dbh Logistics IT AG
Anschrift: Martinistr. 47-49, 28195 Bremen
Telefon: +49 (0) 421 30902-700
Fax: +49 (0) 421 30902-57
E-Mail: [email protected]
Kontakt: Marc Hasenbein
FirmeneinträgeSoftware
Firmeneinträge
80 www.comply-online.de comply. 3/2016
M.I.T e-Solutions GmbH
Ansprechpartner: Onno Reiners
Anschrift: Am Zollstock 1, 61381 Friedrichsdorf
Telefon: +49 (0) 6172 / 71 00-0
Fax: +49 (0) 6172 / 7100-10
E-Mail: [email protected]
Internet: www.mit.de, www.compliance-learning.de
Firmenprofil
M.I.T e-Solutions liefert umfassende Trai-
nings- und Kommunikationslösungen rund
um das Thema Compliance. Mit diesen
Angeboten unterstützen wir das Vorbeugen
und das Schaffen einer gelebten Compliance-
Kultur. Neben dem Erkennen und Reagie-
ren ist das Vorbeugen von rechtlichen und
ethischen Risiken eine der drei wesentlichen
Säulen eines Compliance Systems. Damit ein
solches erfolgreich und stabil ist, braucht es
Einsicht, Wissen und die Motivation bei
allen Beschäftigten, Compliance zu leben.
Dazu tragen die sechs unten beschriebenen
Beratungs-, Schulungs- und Kommunika-
tions-Bausteine von M.I.T bei.
Leistungsspektrum / Produktangebote / Referenzen
Compliance Beratung
Ausgehend von einer Bedarfs- und Ziel-
gruppen-Analyse entwickeln wir im Dia-
log mit Ihnen ein maßgeschneidertes Schu-
lungs- und Kommunikationskonzept für Ihr
Unternehmen. Die Wahl der Medien und
Methoden hängt vom Bedarf und dem Risi-
kograd der jeweiligen Zielgruppe und von
Ihrem Wunschbudget ab. Die folgenden
fünf Bausteine beschreiben unsere Umset-
zungslösungen.
Compliance Lernprogramme
Wir stellen Lernprogramme bereit, mit
denen Sie in gleichbleibender Qualität
stichtaggenau große Ziel- und Risikogrup-
pen erreichen und anhand von Tests nach-
weisbar schulen können. Interaktiv, praxis-
nah, expertengeprüft und motivierend: so
sensibilisieren Sie schnell und wirksam für
rechtskonformes Verhalten. Ob zu Kartell-
recht, Datenschutz oder Korruptionsprä-
vention: wir liefern preisgünstige und indi-
vi-duell anpassbare Standardprogramme
oder Ihr ganz individuelles Lernprogramm.
Compliance Lernprogramme
plus Lernmanagement
Unser Lernmanagementsystem (LMS)
ermöglicht Ihnen eine zielgruppengenaue
Trainingsansprache und einen hohen Erfül-
lungsgrad: Sie können freiwillige und ver-
pflichtende Lernprogramme differenziert
nach unterschiedlichen Risikogruppen aus-
rollen, über unser LMS an Schulungsfristen
erinnern und mit Berichtsfunktionen interne
und externe Schulungsnachweise erbringen.
Compliance Training
im Methodenmix (Blended Learning)
Wir entwickeln Ihr individuelles Schulungs-
konzept und setzen es auf Wunsch um. Eine
Vielfalt an Medien, Methoden und Zeitplä-
nen erlaubt die bedarfsgenaue Ansprache
unterschiedlicher Risikogruppen in Ihrem
Unternehmen. Führungskräfte haben z.B.
einen anderen Sensibilisierungsbedarf als
Produktions-Mitarbeiter. Wir „blenden“ auf
Wunsch digitale und gedruckte Medien, Prä-
senzveranstaltungen oder Tutoring zu einer
stimmigen und für Sie wirksamen Lösung.
Compliance Training-as-a-Service
M.I.T nimmt Ihnen Arbeit ab: durch das
Auslagern von Planungs-, Konzeptions- und
Durchführungsarbeiten bei Compliance-
Schulungen. Wir konzipieren und erstel-
len Print- und Digitalmedien für Sie, z.B.
Ihre Verhaltenskodex-Broschüre oder ein
Tone-from-the-Top-Video, wir organisie-
ren Dozenten und übernehmen das Semi-
nar- und Anwender-Management, stellen
Seminarräume und übernehmen Logistik-
Dienste.
Compliance Kommunikation
und Awareness
Lernen und Kommunizieren gehen bei
Compliance Hand in Hand. Als e-Lear-
ning und e-Marketing Agentur setzen wir
moderne, webbasierte Kommunikationslö-
sungen um, die zu Ihrem Trainingsbedarf
passen. Zum Beispiel Web- und Microsites,
Videos, Mailings, Intranet-Seiten, Social
Media Maßnahmen oder auch Serious
Games, die das Thema Compliance spiele-
risch erschließen.
Referenzen
Kunden, die Compliance-Lösungen von M.I.T einsetzen, sind Großunternehmen (z.B. Bayer AG, Gothaer Versicherungsbank VVaG), der Mittelstand (z.B. CHEP Deutschland GmbH, DKV MOBILITY SERVICES Group) und Behör-den (z.B. Land Hessen).
Software
81
Firmeneinträge
Firmenprofil
Der Bundesanzeiger Verlag veröffentlicht seit
über 55 Jahren die amtlichen Verkündungen
und Bekanntmachungen des Gesetzgebers.
Der Fachverlag weist zudem eine ausgeprägte
Fachkompetenz im Bereich Außenwirtschaft
und Zoll auf, die durch eine umfangreiche
Produktpalette und die Zusammenarbeit mit
herausragenden Autoren, Kooperationspart-
nern und Behörden dokumentiert wird. Der
Verlag bietet tagesaktuelle Informationen als
Software, Data-Content, Push-Dienste sowie
Nachschlagewerke und Leitfäden an.
Software und Data-Content:
TARIFE Premium
TARIFE Premium bietet die Originalda-
ten des elektronischen Zolltarifs (EZT) mit
Schnittstellen für die Anbindung an die
DV-Systeme der Kooperationspartner bzw.
der Wirtschaft und stellt damit die umfas-
sende Lösung für die Zollabteilung dar.
TARIFE Premium wird eingesetzt in Unter-
nehmen, die häufig auf Zolltarifdaten
zurückgreifen, oft verschiedene Waren ein-
oder ausführen, Waren einführen deren Zoll-
sätze sich häufig ändern oder schon einen
Blick auf zukünftige Zollsätze werfen wol-
len sowie die zolltarifliche Behandlung ihrer
Produkte weitestgehend automatisieren
wollen etc.
TARIFE Premium ermittelt tagesaktuell Zoll-
sätze, Einfuhrbeschränkungen, Kontingente,
Ausgleichszollsätze, Antidumping- und Prä-
ferenzmaßnahmen. Sie erhalten damit alle
wesentlichen Zolltarif-Informationen auf
einen Blick.
Daten: Die 11-stelligen deutschen Import-
daten werden per Download tagesaktu-
ell bereitgestellt oder können per CD-ROM
extrahiert werden.
TARIFE Multilanguage
Die 10-stelligen Import-Daten der EU stehen
in allen Amtssprachen der EU per Download
in unterschiedlichen Formaten tagesaktuell
bereit.
TARIFE Export
Sie sind ausschließlich im Export tätig?
TARIFE Export führt die zu einer Waren-
nummer gehörenden und bei einer Export-
prüfung relevanten Daten in einer Daten-
bank zusammen und zeigt sie Ihnen auf
einem Bildschirm ohne große Navigation
direkt an. Kein lästiges Wechseln in unter-
schiedlichen Informationsquellen.
Alle wesentlichen exportrelevanten Infor-
mationen erhalten Sie in einer Datenbank.
Die intuitive Benutzerführung innerhalb
der Anwendung führt Sie durch die Waren-
nomenklatur, ATLAS Codierungen (z.B.
Y 901), Zusatzcodes, Fußnoten und natio-
nale Hinweise.
Via Schnittstelle können die Daten aus
TARIFE Export in eigene Systeme und denen
der meisten Zollsoftwarehäuser automatisiert
tagesaktuell übernommen und die Stamm-
datenpflege damit vereinfacht werden.
TARIFE Export stellt Ihnen geänderte Daten
stets tagesaktuell zur Verfügung und ermög-
licht eine EDV-basierte einfache und kom-
fortable Stammdatenpflege.
Daten: Die 8-stelligen Exportdaten wer-
den in allen Amtssprachen der EU kombi-
niert mit Ausfuhrliste/Dual-use-Verordnung,
ATLAS-Codierungen etc. per Download tages-
aktuell bereitgestellt.
Warenverzeichnis für die
Außenhandelsstatistik
Das Warenverzeichnis für die Außenhan-
delsstatistik entspricht der zolltariflichen
und statistischen Nomenklatur der Europä-
ischen Gemeinschaft (Kombinierte Nomen-
klatur) und dient der Klassifizierung der
Waren. Die Kombinierte Nomenklatur wird
jährlich überarbeitet. In der Neuauflage
des Warenverzeichnisses werden die Ände-
rungen zum 1. Januar berücksichtigt. Sämt-
liche Daten können Sie in eigene DV-Sys-
teme zur automatisierten Weiterverarbeitung
übernehmen. Die Übernahme der Daten für
die Erstellung der Ausfuhranmeldung bzw.
Meldungen für die Intrahandelsstatistik
werden somit vereinfacht.
Daten: Die 8-stelligen Daten werden per
Download in allen Amtssprachen der EU
aktuell bereitgestellt.
Sanktionslisten
Durch die Kontrolle anhand der tagesak-
tuellen HADDEX-Sanktionslisten sind Sie
sicher, keine Personen oder Institutionen zu
beliefern, gegen die Sanktionsmaßnahmen
des Gesetzgebers bestehen. Wenn Sie auf die
komfortable Recherche-Funktion der tages-
aktuellen Software HADDEX-Sanktionslisten,
CD-ROM nicht verzichten wollen, können
Sie auch die Web-Anwendung „Sanktions-
liste-Online“ nutzen. Im Downloadcenter des
AW-Portals können Sie nur die Daten Sankti-
onsliste für die automatisierte Weiterverarbei-
tung in einer eigenen Software herunterladen.
Daten: Werden per automatisierbarem
Download tagesaktuell bereitgestellt.
Präferenz-Info-System
Durch kompetente und effektive Umsetzung
des Präferenzrechts in die Datenbank gelan-
gen Sie schnell und unkompliziert zu den
rechtlichen Grundlagen des Präferenzrechts.
Das Präferenz-Info-System hält die notwen-
digen Informationen übersichtlich und opti-
mal strukturiert für Sie bereit: U.a. das Waren-
verzeichnis für die Außenhandelsstatistik, die
zur HS-Position gehörenden Be- und Verar-
beitungslisten inkl. der entsprechenden Alter-
nativregeln.
Daten: Werden per Download aktuell bereit-
gestellt.
Preissegment
Die Preise der einzelnen Datenbanken und Anwendungen sind
abhängig vom Umfang der Nutzung. Gerne erstellen wir Ihnen ein
individuelles – auf Ihre Bedürfnisse zugeschnittenes –Angebot.
Bitte sprechen Sie uns daher direkt an!
Hier finden Sie Ihre Ansprechpartner:
www.aw-portal.de/datenbankendownloadsWir beraten Sie gerne!
Referenzen
Langjährige Zusammenarbeit mit dem Bundesministerium der Finanzen
(BMF) und dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA).
Unsere Daten stehen in verschiedenen Datenformaten zum automati-
sierbarem Download vom Server des Bundesanzeiger Verlags bereit,
zur Verarbeitung in den Anwendungen führender Softwarehäuser, oder
werden bereits von diesen integriert zu Verfügung gestellt.
Bundesanzeiger Verlag GmbH
Anschrift: Kornmarkt 9, 65549 Limburg
Kontakt: Jürgen Melzig
Telefon: +49 (0) 64 31 / 28 91-11
Fax: +49 (0) 64 31 / 28 91-44
E-Mail: [email protected]
Internet: www.bundesanzeiger-verlag.de
www.aw-portal.de/datenbankendownloads
Software
Firmeneinträge
82 www.comply-online.de comply. 3/2016
Martin Mantz GmbH
Anschrift: Hansaring 8, 63843 Niedernberg
Kontakt: Geschäftsführer Martin Mantz
Telefon: +49 (0) 06028 / 97919-0
Fax: +49 (0) 06028 / 97919-33
E-Mail: [email protected]
Internet: www.martin-mantz.de
Firmenprofil
Martin Mantz steht für Compliance-
Fachwissen auf höchstem Niveau. Die Unter-
nehmensberatung unterstützt internationale
Betriebe seit 1999 beim Aufbau einer gerichts-
festen Organisation. Das Team, bestehend aus
Juristen und Ingenieuren, erstellt für Unter-
nehmen weltweit individuelle, standortspezi-
fische Rechtskataster mit allen einschlägigen
gesetzlichen Regelwerken. Dabei verzichten
die Experten auf verwirrenden Fachjargon
und formulieren leicht verständliche Hand-
lungsanweisungen für jeden Mitarbeiter.
Der von der Martin Mantz GmbH entwickelte
GEORG Compliance Manager® ist zudem
die Software für die Implementierung eines
Compliance-Management-Systems nach der
neuen ISO-Norm 19600, dem internationalen
CMS-Standard.
Leistungsspektrum / Referenzen
Wir machen das Recht verständlichDie Lektüre des Rechts nehmen wir Ihnen ab: Martin Mantz filtert aus allen rechtlichen und technischen Vorgaben die grundsätzlich für Unternehmen (wiederkehrenden) Pflichten. Diese werden in standardisierten, leicht ver-ständlichen, termingebundenen und aktions- fähigen Handlungspflichten zusammenge-fasst und mit Detailhinweisen zur Verfügung gestellt.
Ihr maßgeschneidertes Rechtskataster Unsere spezialisierten Experten erfassen mit einem Legal-Compliance-Audit vor Ort die für die jeweiligen Rechtsbereiche relevanten Daten und überprüfen stichprobenartig die entsprechenden prozessualen Abläufe sowie Unterlagen. Basierend auf diesen Ergebnis-sen erhält der Kunde sein unternehmensspe- zifisches Rechtskataster mit allen einschlägi-gen rechtlichen Regelwerken sowie den he- rausgefilterten und aufbereiteten Pflichten. Ob technische Regeln, Satzungen, Bundesge-setze oder EU-Verordnungen: Unsere Rechts-module enthalten stets alle einschlägigen Re-gelwerke.
Arbeits- und Umweltschutz
Außenwirtschafts- und Zollrecht
Arbeitsrecht für das Personalwesen
Arzneimittelrecht
Bergrecht
Bodenschutzrecht
Datenschutzrecht
Eisenbahnrecht
Energierecht
Gesellschaftsrecht
Lebensmittel- und Futtermittelrecht
Luftsicherheitsrecht
Medizinprodukterecht
Produktrecht
Sprengstoffrecht
Straßenverkehrsrecht
VdS (Sachversicherer)
Wettbewerbs- und Kartellrecht
ISO-Normen
Genehmigungsmanagement
Betriebssicherheit setzt das Einhalten aller behördlichen Bestimmungen (Genehmi-gungsbescheide, Betriebspläne etc.) voraus. Wir erstellen eine Genehmigungshistorie und filtern die Genehmigungsbescheide hinsicht-lich der behördlich auferlegten (sich wieder-holenden) Plichten. Die gefilterten Pflichten übersetzen unsere Rechtsanwälte anschließend in leicht verständliche Handlungspflichten.
Delegations-WorkshopNach Übergabe des unternehmensspezifischen Rechtskatasters führt die Martin Mantz GmbH mit den leitenden Führungspersonen des Unter-nehmens einen Delegations-Workshop durch. Ziel des Trainings ist es, die Vorausset- zungen einer ordnungsgemäßen Delegation zu vermitteln. Die verantwortlichen Mitar-beiter erlernen, Zuständigkeiten und damit Handlungskompetenzen an untergeordnete Abteilungen rechtssicher zu übertragen.
Rechtliche Entwicklungen Wir verfolgen stets die Entwicklungen im Recht und stellen die Aktualität der rechtlichen Pflichten sicher. Alle zwei Monate informieren wir Sie über die Rechtsentwicklung seit der letzten Aktualisierung, die daraus resultieren-den konkreten Änderungen für das Unterneh-men sowie die zukünftige Rechtsentwicklung.
Aktualisierung des Rechtskatasters Geltendes Recht ist im stetigen Wandel. Unsere Profis aktualisieren daher kontinuierlich den gesamten Inhalt der Rechtsbereiche. Unser Team passt das Rechtskataster des Unterneh-mens bei relevanten rechtlichen oder betrieb-lichen Änderungen alle zwei Monate und bei Bedarf auch unverzüglich an. Ein Durcharbei-ten der gesamten rechtlichen Änderungen ist für die Unternehmen nicht notwendig. Den Betrieben stellen wir nämlich nur die für sie relevanten rechtlichen, technischen Regelwerke samt Pflichten zur Verfügung. Die verantwort-lichen Mitarbeiter der Unternehmen weisen lediglich ihren zuständigen Mitarbeitern die neuen Pflichten zu.
Telefonischer Support –
Stets gut beratenDie Martin Mantz GmbH bietet Unternehmen eine telefonische Beratung zu allen bedienten Rechtsbereichen an. Die telefonische Beratung beantwortet unter anderem allgemeine Fragen zu rechtlich technischen Regelwerken und deren Anwendbarkeit, aber auch zu unterneh-mensspezifischen Handlungspflichten.
GEORG Compliance Management
System®
Einfach, transparent, gerichtsfest: Mit dem GEORG Compliance Management System® geben wir unseren Kunden eine handlungs- orientierte Live-Software an die Hand, die die Firmenleitung bei der Regulierung und Kont-rolle der Compliance-Pflichten und -Tätigkei-ten unterstützt. Mit der Anwendung können Nutzer stets den aktuellen Compliance-Status einsehen und die Einhaltung interner und externer Vorschriften nachweisen. Zugleich gewährt GEORG den Überblick über alle Pflich-ten und Fristen aus Regelwerken, behördlichen Bestimmungen und internen Vorgaben. Die personenzentrierte Zuweisung von Pflichten schafft zudem Transparenz im Unternehmen.
ReferenzenOb Mittelstand oder Global Player: Unterneh-men verschiedenster Branchen und Größen aus dem In- und Ausland profitieren seit Jah-ren von unserem Compliance-Know-how und unserer Beratungsdienstleistung:
Arzneimittel & Medizintechnik
Automotive
Chemie
Energieanlagen
Gas- und Energieversorger
Lebensmittel
Maschinenbau
Rohstoffverarbeitung
Carbon
Kunststoff
Metall
Papier
Stahl
Zement
Software
83comply. 3/2016 www.comply-online.de
Makowicz · Wolffgang (Hrsg.)
Rechtsmanagementim UnternehmenPraxishandbuch ComplianceAufbau, Organisation und Steuerung von Integrität
und regelkonformer Unternehmensführung
Unternehmen und WirtschaftUnternehmen und Wirtschaft
Compliance im Überblick!
ISSN 2364-7604, Fachmagazin, ca. 48 Seiten, Format A4, geheftet, Jahresabonnement für 4 Ausgaben im Jahr 129,00 €
www.comply-online.de
ISBN 978-3-89817-749-8, ca. 1200 Seiten, A4, Loseblattwerk, 2 Arbeitsordner, 148,00 €, Aktualisierungen bei Bedarf
www.riu-online.de
www.comply-online.de1. JAHRGANG
DEZEMBER 2015SEITEN 1- 80
ISSN 2364-7604
© S
hive
ndu
Jauh
ari/i
stoc
k.co
m
ESSENTIALS> RISIKENCompliance im AußenwirtschaftsrechtDer internationale Datenverkehr nach Safe Habor
> SOFTSKILLS Compliance als Teil des Internen Kontrollsystems Kommunikation als Grundelement der Compliance-Arbeit
BRANCHE> GESUNDHEITSWESENEin Compliance-Manager in der Notaufnahme?
Ist Compliance Management (k)ein Thema für die gesetzlichen Krankenkassen?
MITTELSTAND> COMPLIANCE-TRAININGE-Learning im Mittelstand?
GLOBAL> SPANIEN
FACHMAGAZIN FÜR COMPLIANCE-VERANTWORTLICHE
d SicherheitBest Practice für Compliance und
Compliance-Krisenmanagement
IN KOOPERAT ION M IT:
comply_03_20151130.indd 1
FACHMAGAZIN FÜR COMPLIANCE-VERANTWORTLICHE
IN KOOPERAT ION M IT:
www.comply-online.de2. JAHRGANG
SEPTEMBER 2016SEITEN 1– 80
ISSN 2364-7604
03/2016
Security Compliance
Makowicz · Wolffgang (Hrsg.)
Rechtsmanagementim UnternehmenPraxishandbuch ComplianceAufbau, Organisation und Steuerung von Integrität
und regelkonformer Unternehmensführung
Unternehmen und WirtschaftUnternehmen und Wirtschaft
ISBN 978-3-8462-0412-2€ 200,00Die Online-Version finden Sie unter:
www.riu-online.de
Unternehmen und Wirtschaft
Wolffgang · Makowicz
Rechtsmanagement im UnternehmenPraxishandbuch Compliance –Aufbau, Organisation und Steuerung von Integrität
und regelkonformer Unternehmensführung
Jetzt
Abonnent
werden!
In Kooperation mit dem Berufsverband der Compli-ance Manager (BCM) e.V. bietet die Compliance Aca-demy mit den CAMPUS DAYS auch eine akademisch-wissenschaftliche Weiterbildungsmöglichkeit mit dem Fokus auf einem interdisziplinären Weiterbildungs-ansatz zur Unterstützung der praktischen Arbeit der Compliance Manager an.
Transfer zwischenWissenschaft und Praxis
DenkenSie bitte an Ihrefrühzeitige Anmel-dung aufgrund derbegrenzten Teil-nehmerzahl.
BCM
CAMPUS DAYS
Praktische Bedeutung und Handhabungfür Compliance-Manager
Konfl ikte und Konfl iktmanagement
25.10.2016 – MÜNSTER || 18.11.2016 – MÜNSTER
Kultur, Werte, Standards undCompliance – ein aktueller Überblick18.09.2016 – MÜNSTER
E-Vergabe – Einfach. Schnell. Sicher.
Das Deutsche Vergabeportal ist Ihr zentraler Online-Marktplatz, wenn es um die Suche nach und die Teilnahme an Ausschreibungen von öffentlichen Aufträgen geht.
Unternehmen können über das Portal voll-elektronisch passende Ausschreibungen
ligen. Den Vergabestellen bietet DTVP die umfassende E-Vergabe und unterstützt Sie bei der elektronischen Durchführung von Vergabeverfahren.
Erweitern Sie Ihr Geschäftsfeld durch öffentliche Aufträge!
Deutsches Vergabeportal
www.dtvp.de
PRAKTIKERSEMINARE:E-Vergabe fürUnternehmen
Nähere Informationen unter www.dtvp.de/praktikerseminare
E-Vergabe-Seminare für Unternehmen!
DTVP BIETERTAG: Öffentliche Aufträge für Unternehmen
Weitere Informationen unter www.dtvp.de/bietertag