FACHMAGAZIN FÜR COMPLIANCE …...6 News comply. 3/2016 Finanzmarktnovellierungsgesetz − zentrale Meldestelle für Whistleblower Bereits in der Vergangenheit ist die BaFin Insider-Informationen

FACHMAGAZIN FÜR COMPLIANCE-VERANTWORTLICHE

IN KO O P ER AT IO N M IT:

www.comply-online.de2. JAHRGANG

SEPTEMBER 2016SEITEN 1– 84

ISSN 2364-7604

03/2016

Security Compliance

W W W . C A - S E M I N A R E . D E

Haben Sie schon eine gut funktionierende Compliance-Strukturbei der alle Räder zuverlässig ineinander greifen?

Die Compliance Academy bietet Ihnen maßgeschneidertesExpertenwissen rund um Compliance an.

3comply. 3/2016 www.comply-online.de

Edit

oria

lEditorial

Sie werden sich sicherlich fragen, warum eine Fachzeitschrift für

Compliance-Verantwortliche, wie die comply. das Th ema Security Com-

pliance zum Schwerpunkt der Ausgabe macht. Es sind zwei wesentliche

auf unseren Beobachtungen gestützte Beweggründe, die uns dazu brach-

ten: Zum einen die Unternehmenssicherheit und zum anderen die Quali-

tät der Sicherheitsunternehmen selbst.

Selbst die besten Compliance-Lösungen werde nichts bringen, wenn das

Unternehmen einem Cyber-Angriff , einem Datenschutzklau, der Indus-

trie-Spionage oder anderer Risiken aus dem Bereich des Wirtschaft s-

schutzes unterliegen wird. Zumindest die in den Bereichen bestehenden

Risiken sind auch Compliance-Risiken und sollten und werden auch

bereits durch entsprechende Maßnahmen im Rahmen eines integrierten

CMS adressiert werden.

Da es sich hierbei um sehr spezielle Risiken handelt, werden sie oft an

externe Dienstleister aus der Sicherheitsbranche abgegeben, die sich in

den letzten Jahren aus einem reinen Bewachungsgewerbe zu wahren All-

roundern in Sachen Unternehmenssicherheit entwickelt haben. Doch mit

wachsenden Aufgaben wachsen auch die Anforderungen an die Quali-

tät der Sicherheitsunternehmen selbst. Der Anspruch ist klar: Möchten

die Unternehmen künft ig weiterhin outgesourcte Compliance-Aufga-

ben wahrnehmen, so müssen sie selbst in eigenen Reihen für Compli-

ance sorgen. Die neusten Entwicklungen rund um die Bewachung von

Flüchtlingsunterkünft en haben jedoch Mängel an den Tag gebracht, die

selbst den Gesetzgeber zur Handlung bewegt haben. Was wird sich für

die Sicherheitsbranche ändern?

Wir fassen diese Aspekte unter dem Stichwort „Security Compliance“

zusammen und ergänzen diese Ausgabe um weitere Aktualitäten zu

Compliance-Risiken und -Methoden.

Wir wünschen Ihnen eine ertragreiche Lektüre!

Prof. Dr. Bartosz Makowicz

Viadrina Compliance Center, Frankfurt (Oder)

Liebe Leserinnen, liebe Leser,

Prof. Dr.

Bartosz Makowicz

4 www.comply-online.de comply. 3/2016

Essentials> BasicsDip. Ing. Martin MantzOrganisationspfl ichten im Rahmen eines Compliance Management Systems 36

> SoftskillsTorsten KrumbachJobangebote im Bereich Compliance zielgerichtet prüfen 40

Alexander FreieslebenCompliance-Kommunikationin vier Schritten 44

> InnovationNoor NaqschbandiCompliance in der Lieferkette 52

Interview > VerbandManuela MackertCompliance „state of the art“ 48

Inhalt

Im Brennpunkt> Security ComplianceAlexander Matuk, LL.M.Strengere Regeln für das Bewachungsgewerbe 14

Dr. Berthold StoppelkampWirtschaftsschutz 18

Martin Stadelmaier Flughafensicherheitund Compliance 24

Isabel MünchInformationssicherheit im Unternehmen 28

Knut Schönfelderred team 32

Interview > VerbandGregor LehnertBringt neues Bewachungsrecht auch neue Qualität der Sicherheitsdienste? 12

> SicherheitswirtschaftManfred BuhlVon Corporate Security bis zu „security by design“ 20

Branche> AußenwirtschaftDr. Eckhardt MoltrechtExportkreditgarantien 56

Global> Polen Dr. iur. des. Bartosz Jagura, LL.M.Im Osten viel Neues 58

> Tschechische Republik Zlata KunesovaCompliance Made in Czech Republic 61

Brennpunkt

I N KOOPERAT I ON M I T:

5comply. 3/2016 www.comply-online.de 55

comply. Fachmagazin für Compliance-Verantwortliche

Schriftleitung und RedaktionProf. Dr. Bartosz Makowicz

BeiratHolger Beutel, Dr. Günter Birnbaum, Michael Falk, Prof. Dr. Peter Fissenewert, Michael Kayser, Prof. Dr. Thomas Knobloch, Michael Loer,Prof. Dr. Thomas Rotsch, Prof. Dr. Lena Rudkowski, Dr. Amr Sarhan, Prof. Dr. Stefan Siepelt, Martin Stadelmaier, Prof. Dr. Dr. h.c. mult. Rolf Stober, Prof. Dr. Hans-Michael Wolffgang, Prof. Dr. Sonja Wüstemann

Redaktion Bundesanzeiger Verlag GmbHRA Jörg SchickTelefon: 0221/9 76 68-186E-Mail: [email protected]

Angela ScholzTelefon: 0221/9 76 68-315 ∙ Telefax: 0221/9 76 68-271E-Mail: [email protected]

ManuskripteManuskripte sind unmittelbar an die Redaktion im Verlag zu senden. Auch für unverlangt eingesandte Manuskriptekann keine Haftung übernommen werden.Der Verlag behält sich das Recht zur redaktionellenBearbeitung der angenommenen Manuskripte vor.

ErscheinungsweiseVierteljährlich (März, Juni, September, Dezember)

BezugspreiseDer Jahresabopreis inklusive Online-Archiv beträgt 129,– €, Sonderpreis für Verbandsmitglieder und Behördenvertreter 98,– € (inkl. MwSt. und Versandkosten (Inland 0,75 € pro Ausgabe/Ausland 3,– € pro Ausgabe))

Bestellungen über den VerlagKündigungen sind nach Ablauf von 12 Monaten möglich. Sie müssen bis zum 15. des Vormonats beim Verlag eingegangen sein.Verlag: Bundesanzeiger Verlag GmbHPostfach 10 05 34, 50445 KölnGeschäftsführung: Dr. Matthias Schulenberg

Abo-ServiceWiebke SchmidtTelefon: 0221/9 76 68-291 ∙ Telefax: 0221/9 76 68-271E-Mail: [email protected]

Urheber- und VerlagsrechteAlle in dieser Zeitschrift veröffentlichten Beiträgesind urheberrechtlich geschützt. Jegliche Verwertungaußerhalb der engen Grenzen des Urheberrechtsgesetzesist ohne Zustimmung des Verlages unzulässigund strafbar. Mit der Annahme des Manuskriptes zurVeröffentlichung überträgt der Autor dem Verlag dasausschließliche Vervielfältigungsrecht bis zum Ablaufdes Urheberrechts. Das Nutzungsrecht umfasst auchdie Befugnis zur Einspeicherung in eine Datenbanksowie das Recht zur weiteren Vervielfältigung zugewerblichen Zwecken, insbesondere im Wegeelektronischer Verfahren einschließlich CD-ROM undOnline-Dienste.

HaftungsausschlussDie in dieser Zeitschrift veröffentlichten Beiträge wurden nach bestem Wissen und Gewissen geprüft. Eine Gewähr für die Richtigkeit und Vollständigkeit kann jedoch nicht übernommen werden. Eine Haftung für etwaige mittelbare oder unmittelbare Folgeschädenoder Ansprüche Dritter ist ebenfalls ausgeschlossen.Namentlich gekennzeichnete Beiträge geben nichtnotwendig die Meinung der Redaktion und der Organisationen, bei denen die Autoren beschäftigt sind, wieder.

AnzeigenleitungHans StenderBundesanzeiger Verlag GmbHAmsterdamer Str. 192, 50735 KölnTelefon: 0221/9 76 68-343 ∙ Telefax: 0221/9 76 68-288E-Mail: [email protected]

AnzeigenpreiseEs gilt die Anzeigenpreisliste Nr. 1 vom 1.1.2015

HerstellungGünter Fabritius, Telefon: 0221/9 76 68-182

Satz und Layout FRAU MINGE – graphic designTabea Minge ∙ E-Mail: [email protected]

Druck Appel & Klinger Druck und Medien GmbH

Impressum

Kritik> PsychologieBerthold KrügerRegeln einsetzen um Regeln zu brechen 64

ForumKai Fain und Maike Scholz

3. DICO FORUMCompliance 2016 68

Service Guide

Compliance-Verbände 74

CM-Software 76

Firmeneinträge 78

PRE MI UM-PARTNER :

Deutsches Ins�tut für Compliance

RubrikenEditorial 3

Inhalt 4-5

News 6-7

Termine 8

Rezension 72

6

News

www.comply-online.de comply. 3/2016

Finanzmarktnovellierungsgesetz − zentrale Meldestelle für Whistleblower

Bereits in der Vergangenheit ist die BaFin Insider-Informationen

auf den Grund gegangen, wenn diese schlüssig dargelegt und von

der BaFin als relevant eingestuft wurden. Das Finanzmarktnovel-

lierungsgesetz, welches im Mai 2016 vom Bundesrat verabschie-

det wurde, sieht nun eine zentrale Meldestelle vor, die außerdem

die Identität der Hinweisgeber – wenn erwünscht – „besonders“

schützen soll. Informationen können über verschiedenste Wege

die Anlaufstelle der BaFin erreichen: per Brief und E-Mail sowie

per Telefon. Das Gesetz sieht im Übrigen auch härtere Strafen für

Marktmanipulationen und Insiderhandel vor.

Praxistipp: Der zuverlässige Schutz von Whistleblowern stellt seit

jeher ein Problem dar. Unternehmensinterne Systeme konnten bei-

spielsweise aufgrund der Zuweisung von IP-Adressen oder einzel-

nen Compliance-Büros bisher keinen absoluten Schutz der Identität

von Hinweisgebern garantieren. Eine zentrale Anlaufstelle könnte

solch einen Schutz jedoch tatsächlich realisieren, schließlich ist hier

insbesondere etwa die sichere PGP-Verschlüsselung von E-Mails

möglich.

Quelle: www.spiegel.de/wirtschaft/whistleblower-bafi n-richtet-meldestelle-fuer-hinweisgeber-ein-a-1100926.html?utm_source=compliance-manager.net?utm_source=compliance-manager.net

News und Presse*

Finanzbranche als Vorreiter für Whistleblower-Schutz

Im Rahmen einer Pressemitteilung befürwortet der Berufsverband

der Compliance Manager (BCM) die jüngsten Entwicklungen

hinsichtlich der Aufsicht von Finanzdienstleistungen. Das neue

Finanzdienstleistungsaufsichtsgesetz schließt nunmehr die arbeits-

rechtliche sowie strafrechtliche Verfolgung von Mitarbeitern der

Finanzbranche aus, wenn diese als Whistleblower Gesetzesverstöße

melden. Außerdem werden u.a. Banken und Versicherungen dazu

verpfl ichtet, organisatorische Maßnahmen zu treff en, um das Hin-

weisgeben zu erleichtern und sicherer zu machen. Der BCM setzt

sich überdies für eine Ausweitung dieser Initiative auf andere Bran-

chen aus.

Praxistipp: Setzen auch Sie sich für die Ausweitung der Initiative

ein, um zukünft ig auch Whistleblowern anderer Branchen einen

angemessenen Schutz zu gewähren.

Quelle: www.bvdcm.de/presse/news (Pressemitteilung vom 1.7.2016; zuletzt abgerufen am 18.7.2016)

PDF http://www.bvdcm.de/sites/default/fi les/pm_whistleblowing_0.pdf

© S

henk

i – s

hots

hop.

com

© Im

ilian

– s

hots

hop.

com

© w

ww

.baf

in.d

e

* Die Nachrichten wurden zusammengestellt von Patrick Kikillus, Viadrina Compliance Center (www.compliance-academia.org)

7

News

comply. 3/2016 www.comply-online.de

ISO 37001 beschlossen

In unserer letzten Ausgabe informierten wir Sie darüber, dass

der Entwurf („Draft International Standard“) des Anti-Kor-

ruptions-Standards ISO 37001 bereits 91 % Zustimmung für sich

beanspruchen konnte. Nunmehr hat sich die zuständige ISO-

Gruppe im Juni 2016 getroff en und die fi nale Fassung, wie vermutet,

angenommen.

Die Norm ISO 37001 verfolgt einen risikobasierten Ansatz, wird

zertifi zierbar sein und noch im laufenden Kalenderjahr erscheinen.

Praxistipp: Die Zertifi zierbarkeit der Norm ISO 37001 durch

externe Wirtschaft sprüfer kann, neben dem Inhalt selbst, einen

großen (Wettbewerbs-)Vorteil für Unternehmen darstellen. Beden-

ken Sie jedoch immer, dass ein Zertifi kat keinen Selbstzweck ver-

folgt. Compliance muss gelebt und nicht bloß zertifi ziert werden.

Quelle: www.iso.org

Whistleblower erhält 17 Millionen Dollar

Ein ehemaliger Unternehmensmitarbeiter erhielt für einen detail-

lierten und für den Abschluss der Ermittlungen besonders wich-

tigen Hinweis rund 17 Millionen Dollar Belohnung von der SEC

(Securities and Exchange Commission). Es handelt sich somit um

den zweitgrößten Betrag, der seit Beginn des Whistleblower-Pro-

gramms an eine einzige Person ausgezahlt wurde. Die größte

Belohnung betrug 30 Millionen Dollar im September

2014. Fünf Whistleblower erhielten im letzten

Monat mehr als 26 Millionen Dollar, so der

Chef des SEC-Büros Sean X. McKessy. Diese

durchaus hohen Beträge sollen Hinweisgeber

dazu bewegen, sich mit ihrem Wissen an die

SEC zu richten.

Praxistipp: Belohnungen für Whistleblower können

einen entscheidenden Anreiz für ebendiese darstellen. Nicht

zuletzt, um eine mögliche Entlassung zu kompensieren.

Quelle: www.sec.gov/news/pressrelease/2016-114.html

BaFin zeigt gesamten VW-Vorstand an

Im Anschluss der Untersuchungen der BaFin im Rahmen des

VW-Skandals, hat diese nunmehr den gesamten Vorstand von

Volkswagen und nicht bloß zwei ehemalige Vorstandsmitglie-

der bei der Staatsanwaltschaft Braunschweig angezeigt. Somit

stehen also nicht mehr nur Martin Winterkorn und der Marken-

chef Herbert Diess, sondern auch der frühere Finanzvorstand

Hans Dieter Pötsch im Fokus der Staatsanwaltschaft . Auch gegen

andere Personen könne noch ermittelt werden, so ein Sprecher der

Staatsanwaltschaft .

Quelle: www.sueddeutsche.de/wirtschaft/abgasaffaere-bafi n-hat-gesamten-vw-vorstand-angezeigt-1.3044490

© D

RSG

98 –

sho

tsho

p.co

m

© W

alde

mar

us –

sho

tsho

p.co

m

Software. Beratung. Lösungen.dbh Logistics IT AG | www.dbh.de

SOFTWARELÖSUNG FÜR SICHERES COMPLIANCE MANAGEMENT

. SANKTIONSLISTENPRÜFUNG

. ZOLLTARIFLICHE WARENEINREIHUNG

. EXPORTKONTROLLE

. TAGESAKTUELLER CONTENT

. FÜR SAP VERFÜGBAR

Anzeige

8

Termine©

Dav

id A

usse

rhof

er/C

hris

tina

Kört

e

Weitere Termine

12./13.9.2016 Düsseldorf

11. Jahrestagung Compliance

Handelsblatt

14.9.2016 Frankfurt a.M.

11. Frankfurter Compliance Talk

Bundesanzeiger Verlag – Datenschutzakademie

15.9.2016 Berlin

BVMed – Spezial-Workshop Compliance

BVMed – Bundesverband Medizintechnologie e.V.

18.10.2016 Stuttgart

Off enlegungspfl icht von Unternehmen

Bundesanzeiger Verlag

19.10.2016 München

IT-Sicherheit für den Datenschutzbeauft ragten


21.10.2016 Frankfurt a.M.

Datenschutz-Management


25.10.2016 München

Off enlegungspfl icht von Unternehmen

Bundesanzeiger Verlag


AnzeigeDatenschutzakademie

Aus- und Fortbildung für den DatenschutzbeauftragtenAlle Seminartermine unter www.comply-datenschutz.de

© newlight - Shotshop.de

Termine der Compliance Academy

21.10.2016 München

DIN/ISO 19600 Compliance

Management Systems –

Update und Erfahrung

8.11.2016 Münster

Betriebswirtschaft liche Prozesse

für Compliance-Verantwortliche

14.11.2016 München

Compliance-Lösungen

für Startup-Unternehmen

21.11.2016 München

Start Up-Seminar Compliance

im Mittelstand

29.11.2016 München

Legal Management –

Pfl ichten und Haft ung

der Compliance Offi cer


Compliance Training mit Biss

und hohem Erfüllungsgrad

M.I.T bietet Trainings- und Kommunikationslösungen, die ankommen:

Zielführende Beratung – motivierende Lernprogramme – Kommunikations- und Quizlösungen mit Pfiff – effizientes

Lernmanagement – Seminare und Workshops für Risikogruppen – wirksame Blended Learning Pakete – Trainings-Outsourcing

zur Entlastung für die Kernaufgaben

M.I.T e-Solutions GmbH, Am Zollstock 1, 61381 Friedrichsdorf, [email protected] Telefon +49 6172 7100-0


§

§


Im Interview mit Gregor Lehnert 12

Bringt neues Bewachungsrecht auch neue Qualität der Sicherheitsdienste?

Alexander Matuk, LL.M. 14

Strengere Regeln für das Bewachungsgewerbe

Dr. Berthold Stoppelkamp 18

Wirtschaftsschutz

Im Interview mit Manfred Buhl 20

Von Corporate Security bis zur „security by design“

Martin Stadelmaier 24

Flughafensicherheit und Compliance

Isabel Münch 28

Informationssicherheit im Unternehmen

Knut Schönfelder 32

red team

Im BrennpunktSecurity Compliance

© R

ogot

anie

– is

tock

phot

o.co

m

§


Interview

Bringt neues Bewachungsrecht auch neue Qualität der Sicherheitsdienste?Im Gespräch* mit Gregor Lehnert, Präsident des Bundesverbandes der Sicherheitswirtschaft, über die bevorstehende Reform des Sicherheitsgewerberechts.

comply: Herzlichen Dank für Ihre Bereit-

schaft , uns für ein Interview zur Verfügung

zu stehen!

Der Gesetzgeber wird voraussichtlich

noch in dieser Legislaturperiode die Refor-

men des Sicherheitsgewerbes durchsetzen.

Bestand hierzu überhaupt ein tatsächlicher

Handlungsbedarf oder ist das Handeln eher

durch politischen oder auch gesellschaft lichen

Druck motiviert?

Gregor Lehnert: Die Regierung hatte sich

bereits im Koalitionsvertrag vorgenommen,

verbindliche Anforderungen an Seriosität

und Zuverlässigkeit privater Sicherheits-

dienste zu stellen. Der BDSW hat von Anfang

an eine Umsetzung eingefordert. Richtig

Bewegung kam in den Gesetzgebungspro-

zess aber erst durch die anhaltende Medien-

berichterstattung über schlimme Vorfälle in

Flüchtlingsunterkünft en unter Beteiligung

von unseriösen Securityfi rmen. Dadurch ist

der öff entliche und damit auch politische

Handlungsdruck gestiegen.

comply: Welche Rolle für die Reform-

vorschläge haben Ihrer Ansicht nach die

Vorfälle bei der Bewachung der Flüchtlings-

unterkünft e sowie die weitere Einbindung

der Sicherheitswirtschaft bei Terrorabwehr

gespielt?

Gregor Lehnert: Die Vorfälle in Flüchtlings-

unterkünft en haben allein den politischen

Handlungsdruck erzeugt. Bereits Ende

November 2015 hatte ein Bund-Länder-

Ausschuss Gewerberecht erste Eckpunkte

für eine Novellierung des Bewachungs-

rechts erarbeitet, auf dessen Basis dann der

Gesetzentwurf erarbeitet wurde. Die Terror-

anschläge haben auf den aktuellen Gesetzge-

bungsprozess keinen Einfl uss gehabt, da in

Deutschland für die potenziellen Anschlags-

ziele im Bereich kritischer Infrastrukturen

(Flughäfen und Atomkraft werke) bereits

hohe Sicherheits- und Qualitätsstandards

für das Sicherheitspersonal auf Basis spezial-

gesetzlicher Regelung bestehen.

comply: Lassen Sie uns nun auf einige kon-

krete Reformpunkte eingehen. Wir lesen in

der Reformbegründung an vielen Stellen,

dass der Reforminitiator auf die Erhöhung

der Qualität der Sicherheitsdienste, insbe-

sondere auch im Bereich der Bewachung der

Flüchtlingsunterkünft e, abzielte. Andererseits

wird aber bis auf das leitende Personal kein

Sachkundenachweis von dem Bewachungs-

personal gefordert. Wie ist das zu erklären?

Gregor Lehnert: Es geht darum, im Bereich

der Flüchtlingsunterkünft e möglichst schnell

bei den Sicherheitsmitarbeitern ein höheres

*Das Gespräch für die comply. führte Prof. Dr. Bartosz Makowicz

Verband

comply. 3/2016 www.comply-online.de 13

Interview

Qualitätsniveau zu erzielen. Dabei setzt der

BDSW weniger auf die Sachkundeprüfung

an sich, die keine Kenntnisse zum Schutz von

Flüchtlingsunterkünft en vermittelt, sondern

vielmehr auf ein vom Verband entwickeltes

modulares Qualifi zierungskonzept, was

Elemente von interkultureller Kompetenz,

Sprachkompetenz und Deeskalationstrai-

ning beinhaltet. Wir als BDSW hätten uns

gewünscht, dass so etwas in das Gesetz auf-

genommen worden wäre. Das Hauptproblem

beim Schutz von Flüchtlingsunterkünft en

ist, dass die Dienstleistung häufi g ohne jegli-

che Qualitätsanforderungen nur zum billigs-

ten Preis ausgeschrieben und vergeben wird.

Hier muss ein Paradigmen-

wechsel bei der öff entlichen

Hand bei Ausschreibun-

gen erfolgen. Qualität hat

ihren Preis. Qualifi zierte

Sicherheitsdienstleistungen

können nicht zum gesetzli-

chen Mindestlohn erbracht

werden.

comply: Wäre es vollständig

realitätsfern, wenn ein künf-

tiges Gesetz einen Sachkun-

denachweis vom gesamten

Bewachungspersonal fordern

würde? Wäre ein solches

Sonderopfer nicht dadurch

gerechtfertigt, dass das Sicherheitspersonal

letztendlich höchst sensible Rechtsgüter wie

Leib und Leben sowie Eigentum bewacht?

Zumindest nach der vorliegenden Reform soll

„lediglich“ der Unterrichtungsnachweis wei-

terhin Regelfall bleiben.

Gregor Lehnert: Eine solche Novellierung

des Bewachungsrechts unterstützt der

BDSW, wenn gleichzeitig die Inhalte der

Sachkundeprüfung praxisnäher gestal-

tet werden. Allerdings muss es einen

Bestandsschutz für langjährig erfolgrei-

che Mitarbeiter bzw. ausreichend lange

Fristen zur Erlangung des Sachkunde-

nachweises geben. Wir gehen von einer sechs-

monatigen ununterbrochenen Tätigkeit im

Sicherheitsgewerbe aus. Aber auch bei der

Sachkundeprüfung gilt, sie ist eine gewer-

berechtliche Zulassungsvoraussetzung und

keine Ausbildung.

comply: Nach dem geänderten Gesetz wer-

den mehr Prüfungen abgenommen werden

müssen. Sind die dafür zuständigen Prüfstel-

len darauf tatsächlich vorbereitet? Besteht die

Gefahr, dass damit auch Sicherheitsunter-

nehmen überlastet werden könnten, wenn

sie zu viele Mitarbeiter zu Schulungen und

Prüfungen schicken müssen?

Gregor Lehnert: Die Gefahr sehen wir bei

einigen IHKs, wo bereits heute zeitnah keine

Unterrichtungsverfahren angeboten werden.

Wartezeiten von mehreren Monaten sind

nicht hinnehmbar. Sie behindern die recht-

lich saubere Gewerbeausführung unserer

Mitgliedsunternehmen. Hier ist mehr Fle-

xibilität auf Seiten der Kammerorganisation

gefordert. Außerdem fordern wir seit der

Einführung des Unterrichtungsverfahrens

im Frühjahr 1996, dass die vom BDSW zer-

tifi zierten Sicherheitsfachschulen als durch-

führende Stellen anerkannt werden. Dies

würde auch zu einer Entlastung der Kammer-

organisation führen.

comply: Im Hinblick auf die Zuverlässigkeit

der Gewerbetreibenden sieht die Reform

künft ig Wiederholungsprüfungen in zeitli-

chen Abständen von mindestens drei Jahren

vor. Eine solche Wederholungsprüfung wird

jedoch nicht für den künft ig geforderten Sach-

kundenachweis verlangt. Handelt es sich hier-

bei um ein gesetzgeberisches Versehen oder ist

diese Abweichung tatsächlich gerechtfertigt?

Gregor Lehnert: Nach dem letzten Gesetz-

gebungstext, soll die Zuverlässigkeit regel-

mäßig innerhalb von fünf Jahren wiederholt

werden. Da die Mitarbeiter von BDSW-Un-

ternehmen regelmäßig weitergebildet wer-

den, ist eine regelmäßige Wiederholung der

Sachkundeprüfung nicht angezeigt.

comply: Wie beurteilen Sie den Plan der Ein-

führung eines Bewacherregisters?

Gregor Lehnert: Dieses Register begrüßen

wir ausdrücklich. Es wäre ein deutlicher

Gewinn von mehr Transparenz, da es zu

einem bundesweiten Überblick über alle

zugelassenen Unternehmen und deren Mit-

arbeiter führen würde. Damit würde auch

die leider verbreitete Fälschung von Unter-

richtungs- und Sachkundenachweisen wirk-

sam bekämpft werden. Wir hoff en, dass das

Register nicht erst Ende 2018, sondern Ende

nächsten Jahres eingerichtet sein wird. Off en

ist derzeit auch noch, bei welcher Behörde

das Register angesiedelt sein soll. Wir könn-

ten uns das BAFA – Bundesamt für Wirt-

schaft und Ausfuhrkontrolle vorstellen. Wir

brauchen als Wirtschaft und vor allem im

Interesse der Sicherheit schnell Klarheit.

comply: Bei der Einstellung

des Bewachungspersonals sieht

die Reform künft ig umfangrei-

che Pfl ichten zur Einholung

der Auskunft vor. Bei etwa

Bewachung von Flüchtlings-

unterkünft en wird sogar eine

Auskunft bei dem Verfassungs-

schutz vorgesehen. Halten Sie

diese Regel nicht für übertrie-

ben? Oder sollten sie sogar auf

sämtliche Bewacher ausgewei-

tet werden?

Gregor Lehnert: Die vor-

gesehene Regelung ist nach

Auff assung des BDSW ver-

hältnismäßig, da es um den Schutz von Leib

und Leben in besonders sensiblen Aufgaben-

bereichen geht. Das Eindringen von unzu-

verlässigen Personen mit rechtsradikalem

Hintergrund in Schutzaufgaben von Flücht-

lingsunterkünft en muss verhindert werden.

Eine Regelanfrage beim Verfassungsschutz

für die gesamte Branche halten wir für

unverhältnismäßig.

comply: Wie würden Sie den Reformvor-

schlag im Allgemeinen bewerten?

Gregor Lehnert: Die Novellierung ist auf

jeden Fall ein Schritt in die richtige Richtung.

Allerdings wird das qualitative Schutzniveau

für Großveranstaltungen, öff entlichen Perso-

nenverkehr, Flüchtlingsunterkünft e und kri-

tische Infrastrukturen durch Einbeziehung

von privaten Sicherheitsdiensten nur dann

fl ächendeckend für Deutschland auf ein

einheitliches hohes Niveau gehoben werden

können, wenn sich die Politik endlich darauf

verständigt, für diese Sektoren spezialgesetz-

liche Regelungen außerhalb der Gewerbe-

ordnung zu schaff en. Das ist eine Baustelle

für die nächste Legislaturperiode.

comply: Lieber Herr Lehnert, herzlichen

Dank für das Gespräch!

„Für ein qualitatives Schutzniveau für

Großveranstaltungen, den öff entlichen

Personenverkehr, Flüchtlingsunterkünft e

und kritische Infrastrukturen brauchen

wir spezialgesetzliche Regelungen

außerhalb der Gewerbeordnung.“

Verband

© fi

lo –

isto

ckph

oto.

com


Strengere Regeln für das Bewachungsgewerbe Medienwirksame Skandale in Flüchtlingsheimen zwingen die Regierung zu einer Gesetzesreform, die schwarzen Scharfen der Security-Branche den Garaus machen soll.Mit zunehmender Spannung in der Flüchtlingsproblematik hat vor allem das Ansehen der privaten

Sicherheitsbranche gelitten. Unzählige Vorfälle in Flüchtlingsunterkünft en mit Beteiligung von Bewa-

chungspersonal machten bundesweit auf die problematischen Umstände der gesamten Branche auf-

merksam. Sowohl Übergriff e seitens der Security-Mitarbeiter als auch die Anzahl der neu gegründeten

Bewachungsunternehmen und der große Bedarf nach Personal lassen die gewerbliche Sicherheitsbran-

che zusehends unter Druck geraten. Vor diesem Hintergrund erarbeitete das BMWi ein Eckpunkte-

papier zur Verschärfung des gewerblichen Bewachungsrechts.

15

Brennpunkt


Hintergrund und aktuelle Situation

Mit der bisherigen Ausgestaltung des § 34a GewO und

seiner Berufszugangs- und Ausübungsregelungen

wird die Bewachererlaubnis erteilt, wenn Zuverlässig-

keit, geregelte Vermögensverhältnisse, der Nachweis

der erforderlichen Sachkunde und der Abschluss

einer Betriebshaft pfl ichtversicherung des Gewerbe-

treibenden nachgewiesen werden können. Als Bewa-

chungspersonal kommen des Weiteren nur Personen

in Betracht, die ebenso Zuverlässigkeit beglaubi-

gen können, volljährig sind und ihre erforderliche

Sachkunde beweisen können.1 Nur in bestimmten

Fällen wird anstatt des Unterrichtungsnachweises

die Bescheinigung der Industrie- und Handelskam-

mer über die positiv abgelegte Sachkundeprüfung

verlangt.

Regelbeispiele zur Zuverlässigkeit sollen höheren Sicherheitsqualitätsstandard etablierenSowohl aus der Wissenschaft als auch der Praxis sind

trotz der Bewachungsgewerberechtsnovelle 2012

die Forderungen nach einer Verschärfung der Sach-

kundeprüfung des Wachpersonals immer deutlicher

geworden. Aufgrund der steigenden Anforderung an

das private Sicherheitsgewerbe einerseits, und dem

statischen Bewachungsrecht andererseits, ist im Zuge

der Gesetzesänderung von 2012 versucht worden über

das Hinzufügen von Regelbeispielen zur Zuverlässig-

keit gem. § 34a Abs. 1 S. 5 GewO a.F. einen höheren

Sicherheitsqualitätsstandard zu etablieren. Dies wird

seither regelmäßig kritisiert, da die persönliche Sach-

kunde de facto nicht gestiegen ist und es somit als

fraglich erscheint von einem Fortschritt zu sprechen,

wenn über den Umweg der Zuverlässigkeitsprüfung

auf die Sicherheitskompetenz des Wachpersonals

geschlossen wird.2

Sachkundeprüfung vs. Unterrichtungs-verfahren – steigende Anforderungen

Gerade bei sensiblen Bewachungsaufgaben, wie es bei

Flüchtlingsunterkünft en der Fall ist, stellen vorbeu-

gende Maßnahmen bei Gefahren- und Konfl iktsitua-

tionen alle Beteiligten unter besonders hohen Druck.

Aus diesem Grund soll künft ig sichergestellt werden,

dass der Bewachungsunternehmer selbst Deeskalati-

onstechniken und potenzielle Gefahrenherde einzu-

ordnen weiß.

Anstatt des bisherigen Unterrichtungsnachweises

müssen Bewachungsunternehmer gem. § 34a Abs.

1 S. 3 Nr. 1-3 GewO n.F. demnächst einen Sachkun-

denachweis erbringen. Zusätzlich gelten geordnete

Vermögensverhältnisse und die Nachweispfl icht einer

Haft pfl ichtversicherung als weitere Voraussetzung

für Gewerbetreibende.

Die Unterrichtung bleibt indes als eigenständiger

Nachweis für das Bewachungspersonal erhalten. Obli-

gatorisch wird die Sachkundeprüfung in der neuen

Fassung der Gewerbeordnung auch für Bewachungs-

personal in leitender Funktion von Flüchtlingsunter-

künft en und Großveranstaltungen. Fraglich bleibt,

wieso in der Entwurfsbeschreibung hierbei nur auf

die Personen abgestellt wird, die vor Ort verantwort-

lich und weisungsbefugt sind.3

Die Sachkundeprüfung und das Unterrichtungs-

verfahren für Bewachungsunternehmer ist ferner

eindeutiger defi niert und um praxisbezogene Ele-

mente erweitert worden. Zusätzlich werden Regelbei-

spiele für Unzuverlässigkeit von Unternehmen und

Personal gem. § 34a Abs. 1 S. 3 Nr. 1-4 GewO n.F.

eingeführt. Des Weiteren sollen fälschungssicherere

Sachkunde- und Unterrichtungsnachweise für höhere

Sicherheit unter den jährlich betroff enen ca. 1.000

Gewerbetreibenden des Bewachungsgewerbes und ca.

2.000 Wachpersonen garantieren.

Einrichtung eines zentralen Bewacherregisters

Die Einrichtung eines zentralen Bewacherregis-

ters soll gem. § 34a Abs. 6 GewO n.F. bis zum

31. Dezember 2017 erfolgen. Bundesweit sollen Daten

zu Bewachungsgewerbetreibenden nach § 34a Abs. 1

S. 1 GewO n.F. und Bewachungspersonal nach § 34a

Abs. 1a S. 1 GewO n.F. elektronisch auswertbar zu

erfassen sein und auf dem aktuellen Stand gehalten

werden. Das Ziel der Änderung ist die eingehende

und fortlaufende Überprüfungsmöglichkeit durch

Gewerbebehörden über rechtsradikale, islamistische

oder sonstige extremistische Bestrebungen in die

Beurteilung der Zuverlässigkeit des Gewerbetreiben-

den. Hiermit soll sichergestellt werden, dass beson-

ders sensible Bereiche des Bewachungsgewerbes, wie

etwa in Flüchtlingsunterkünft en, regelmäßig kontrol-

liert werden müssen und Auff älligkeiten frühzeitig

erkannt werden können. Im Rahmen der Überprü-

fung der Zuverlässigkeit des Gewerbetreibenden soll

das neue Bewachungsregister neben dem Bundeszen-

tralregister, Gewerbezentralregister und der Stellung-

nahme von Polizeibehörden, die Möglichkeit schaff en,

gebündelte Informationen über die Gewerbetrei-

benden für die Gewerbebehörden zur Verfügung zu

stellen. Während des Erlaubnisverfahrens sowie bei

bundesweiten Kontrollen vor Ort können notwendige

Informationen über das Vorliegen des erforderlichen

Unterrichtungs- bzw. Sachkundenachweises sowie

über die Zuverlässigkeit durch Einsichtnahme in das

Register schnell beschafft werden. Durch die deutlich

kürzeren und vereinfachten Informationswege kann

davon ausgegangen werden, dass sich die Maßnahme

zur Einführung des Bewachungsregisters positiv auf

die Eff ektivität der behördlichen Kontrollarbeit aus-

wirken wird und sog. schwarze Schafe schneller auf-

gespürt werden können.

Regelmäßige Überprüfung der Zuverlässigkeit

Mit der regelmäßigen Überprüfung der Zuverläs-

sigkeit des Bewachungsgewerbes soll mit der neuen

Security Compliance

Alexander Matuk, LL.M.

Der Autor ist wissen-

schaft licher Mitarbeiter

am Viadrina Compliance

Center an der Europa-

Universität Viadrina in

Frankfurt (Oder).


Fassung ein zusätzliches Überwachungsinstrument

eingeführt werden. Die Ausweitung der regelmäßi-

gen Überprüfung der Zuverlässigkeit gem. § 34a Abs.

1 S. 3 Nr. 1-3 GewO n.F. gehört zu den Eckpfeilern

der geplanten Gesetzesänderung. In Zukunft muss

durch die zuständige Behörde zur Überprüfung der

Zuverlässigkeit des Gewerbetreibenden mindestens

eine Auskunft aus dem Gewerbezentralregister sowie

eine unbeschränkte Auskunft aus dem Bundeszen-

tralregister eingeholt werden. Zudem sind künft ig

das Führungszeugnis und eine Stellungnahme der

Polizeibehörde nötig. Schließlich erhalten zuständige

Behörden die Möglichkeit bei den Landesbehörden

für Verfassungsschutz und bei der für den Wohn-

ort zuständigen Polizeibehörden, einer zentralen

Polizeidienststelle oder dem jeweils zuständigen

Landeskriminalamt nach Unternehmen und Perso-

nal anzufragen. Eine regelmäßige Überprüfung der

Zuverlässigkeit der Gewerbetreibenden und des ein-

gesetzten Wachpersonals, welche gem. § 34a Abs. 1 S.

6 und § 34a Abs. 1a S. 5 GewO n.F spätestens alle drei

Jahre wiederholt werden soll, rundet die Kontrolle ab.

Kosten

Trotz des prognostizierten Mehraufwands von

1.421.500 € pro Jahr soll sich die Einholung von

Führungszeugnissen und der Stellungnahme der

zuständigen Behörde der Landespolizei, Ausgabe der

Führungszeugnisse für Behörden, Stellungnahme der

zuständigen Behörde der Landespolizei und darüber

hinaus entstehenden einmaligen Investitionskosten

zzgl. jährlichen Wartungskosten beim Bundesamt für

Verfassungsschutz in Höhe von ca. 50.000 € für die

Einrichtung einer einheitlichen Eingangsschnittstelle

für den automatisierten Abgleich im nachrichten-

dienstlichen Informationssystem. Dem nämlich steht

geschätzt eine Entlastung der Sicherheitswirtschaft

von jährlich 1.150.000 € gegenüber. Diese resultiert

laut neuer Fassung aus den Änderungen zur Sach-

kundeprüfung und eingesparten Gebühren für die

Unterrichtung, die je 40-stündige bzw. 80-stündige

Sachkundeprüfung 250 € beim Bewachungspersonal

Brennpunkt Security Compliance

bzw. 650 € bei Bewachungsunternehmern ergeben.

Bei einer Fallzahl von geschätzt 100.000 Bewachungs-

unternehmern in Deutschland ist der Aufwand zur

Erreichung von höheren Sicherheitsstandards zwar

hoch, wird aber von den Einsparungen auf Seiten der

Wirtschaft relativiert.

FAZIT

Trotz der strengeren Anforderungen an

das Sicherheitspersonal kann noch lange

nicht von einem branchenweiten Aufatmen

die Rede sein. Der Gesetzesentwurf wird

zunehmend hart kritisiert, da er gerade im

Bereich der Flüchtlingsunterkünft e weiterhin

Personal ohne Sachkundenachweis zulässt.

Nur Personal mit leitender Funktion ist von

den Neuerungen umfasst. Zweifelhaft bleibt

überdies, ob ein 40-stündiger Sachkundeun-

terricht grundsätzlich ausreichend ist, um

die anspruchsvollen Aufgaben zu überneh-

men, die von privaten Sicherheitsdiensten

erwartet werden. Insbesondere Fragen rund

um die Sicherheit in Flüchtlingsunterkünf-

ten, die einen Bedarf von 15.000 Wachleuten

geschaff en hat, bleibt größtenteils ungelöst.

Spezielle kulturelle Schulungen, wie etwa vom

BDSW gefordert, sind im Gesetzesentwurf

nicht vorgesehen. Zusätzlich dazu fi nden die

off ensichtlich überforderten Sicherheitsfi r-

men nicht genügend qualifi ziertes Personal

und setzen häufi g auch ungeeignete Bewerber

ein. An diesem Zustand wird das Gesetz zur

Änderung bewachungsrechtlicher Vorschrif-

ten vermutlich nichts ändern können.

1 Vgl. Erbs/Kohlhaas/Ambs, GewO, § 34a Rn. 5.

2 Vgl. Brauser/Jung, Verfassungsrechtliche Grundlagen,

Rn. 34-38 in Stober/Olschok, Handbuch des Sicherheitsge-

werberechts, S. 156.

3 BT-Drucksache 164/16, S. 16, a.a.O.

17

Brennpunkt


Fiscal Compliance

© M

arco

2811

– fo

tolia

.com

w w w. m a r t i n - m a n t z . d e


WirtschaftsschutzWie schütze ich meine Unternehmenswerte?

Unternehmen stehen vor gewaltigen Herausforderungen im Sicherheitsbereich. Dies gilt insbesondere

für KMU-Unternehmen, die mit ihrem Ideenreichtum, ihrer Flexibilität und Innovationsfähigkeit das

Rückgrat des Wirtschaft sstandortes Deutschland bilden. Die veränderten Bedrohungsphänomene, ins-

besondere die gewachsenen Bedrohungen durch Wirtschaft sspionage und Angriff e auf IT-Systeme füh-

ren nach Ansicht von Experten zu gravierenden volkswirtschaft lichen Schäden von über 50 Milliarden

Euro pro Jahr. Unternehmen müssen sich auf diese Bedrohungen angemessen vorbereiten. Allerdings

fehlen – mit Ausnahme der DAX-Unternehmen bzw. „Global Player“ – vielerorts in den Unternehmen

notwendige eigene Ressourcen, um Sicherheitsrisiken zu erkennen und potenziellen Angriff en eff ektiv

zu begegnen. Diese Sicherheitslücke kann die Sicherheitswirtschaft mit maßgeschneiderten Sicherheits-

dienstleistungen schließen.

19

Brennpunkt


Sicherheitswirtschaft hilft

Ein eff ektiver Wirtschaft sschutz umfasst daher neben

Informationen zu Sicherheitsrisiken die Erstellung

eines Sicherheitskonzeptes und die Entwicklung einer

Wirtschaft sschutzstrategie für das Unternehmen.

Hierzu sind insbesondere Sicherheitsdienstleister

mit ausreichenden Kenntnissen über die aktuellsten

Bedrohungsszenarien für die deutsche Wirtschaft

geeignet.

Mitglieder des BDSW werden durch interne Ver-

bandsschulungen mit Unterstützung des Inlands-

nachrichtendienstes, BfV und als Partner der

Bundesinitiative Wirtschaft sschutz auf diese Aufgabe

umfassend vorbereitet und können so im Bereich des

Wirtschaft sschutzes einen erheblichen Sicherheits-

mehrwert für das Kundenunternehmen erzielen. Die

Sicherheitswirtschaft leistet damit einen erheblichen

Beitrag zur Unternehmenssicherheit in der deutschen

Wirtschaft und trägt heute maßgeblich zur Sicherung

des Wirtschaft sstandortes Deutschland bei.

Initiative Wirtschaftsschutz – Gemeinsam. Werte. Schützen.

Um insbesondere den Herausforderungen zur

Abwehr von Wirtschaft sspionage, Sabotage und

Konkurrenzausspähung zu begegnen, haben die vier

Wirtschaft sverbände BDSW, BDI, DIHK und ASW

gemeinsam mit dem Bundesamt für Verfassungs-

schutz, dem Bundeskriminalamt, dem Bundesnach-

richtendienst und dem Bundesamt für Sicherheit in

der Informationstechnik, koordiniert durch das Bun-

desministerium des Innern, Maßnahmen zur Ver-

hinderung von Angriff en auf die deutsche Wirtschaft

entwickelt. Unter dem Leitbild „Gemeinsam. Werte.

Schützen.“ hat die „Initiative Wirtschaft sschutz“

ein umfassendes Schutzkonzept entwickelt. Dieses

umfasst Maßnahmen und Projekte zum Schutz deut-

scher Unternehmen.

Neue gemeinsame Informationsplattform der Bundessicherheitsbehörden

Herzstück der Initiative ist die neue Informations-

plattform www.wirtschaft sschutz.info. Auf dieser

Plattform werden erstmals in der Geschichte der

Bundesrepublik vielfältige Informationen der Bun-

dessicherheitsbehörden zum Wirtschaftsschutz

gebündelt und stehen in einem geschützten Bereich

jedem registrierten Unternehmen in Deutschland

kostenfrei zur Verfügung. Zudem gibt es im off enen

Bereich Hilfsangebote und Handlungsempfehlungen

zur Selbsthilfe. Auch eine Kontaktaufnahme zu den

Bundessicherheitsbehörden ist über die Informati-

onsplattform möglich, um in einen Dialog eintreten

zu können. Auch dies ist Ausdruck einer neuen Ver-

trauenskultur zwischen Staat und Wirtschaft bei der

Bewältigung von Risiken für die Unternehmen.

Security Compliance

Dr. Berthold Stoppelkamp

Der Autor ist Leiter

des Hauptstadtbüros

des BDSW (Bundes-

verband der Sicher-

heitswirtschaft ) und

zuständiges Geschäft s-

führungsmitglied für

den BDSW–Arbeitskreis

Wirtschaft sschutz

sowie die „Initiative

Wirtschaft sschutz“.

FAZIT

Die Mitarbeiter sind der Schlüssel zum Wirt-

schaft sschutz! Mehrere Studien belegen, dass

in mehr als der Hälft e der bekannt gewor-

denen Fälle von Wirtschaft sspionage und

Wirtschaft skriminalität gegen Unternehmen

Mitarbeiter – meist unbewusst oder durch

Fahrlässigkeit – in das Tatgeschehen involviert

sind. Sensibilisierte und in Sicherheitsthemen

geschulte Mitarbeiter können daher maßgeb-

lich zum Wirtschaft sschutz beitragen. Dabei

sind es neben der Nutzung von modernster

Sicherheitstechnik zum Objektschutz bzw. zur

IT-Infrastruktur das aufmerksame, sensible

Verhalten der Mitarbeiter, was Schäden verhin-

dern kann. Warum ist das Türschloss defekt?

Warum erhalte ich als email eine Monatsrech-

nung für ein Abo, was ich gar nicht bestellt

habe? Auch bei der Sicherheitsschulung von

Mitarbeitern bietet die deutsche Sicherheits-

wirtschaft – und dabei die im Wirtschaft s-

schutz spezialisierten Unternehmen des BDSW

– maßgeschneiderte Unterstützung.

Zur Vertiefung:

www.wirtschaftschutz.info


Interview

Von Corporate Security bis zu „security by design“Im Gespräch* mit Manfred Buhl, CEO und Vorsitzender der Geschäftsführung der Securitas Holding GmbH, über den Beitrag der Sicherheitswirtschaft zur Unternehmenssicherheit sowie über die Rolle der Compliance in Sicherheitsunternehmen.



zu stehen!

Wenn Sie die Lage heute und vor 10 bis 15

Jahren vergleichen: Wie haben sich sicher-

heitstechnische Außenrisiken für die deut-

schen Unternehmen gewandelt?

Buhl: Die Sicherheitslage hat sich in den

vergangenen zehn bis fünfzehn Jahren

dramatisch verändert. Der islamistische

Terrorismus ist in diesem Zeitraum in

Europa angekommen und stellt auch

in Deutschland eine reale Gefahr mit

einem kaum abschätzbaren Schadenspo-

tenzial dar. Cybercrime und Cyberwar

haben heute eine ganz andere Dimension.

Angreifer sind viel professioneller. Ran-

somware ist zu einer alltäglichen erpres-

serischen Bedrohung der Underground

Economy geworden. Bei einer Umfrage

unter 600 Experten aus Unternehmen im

Mai 2016 haben mehr als die Hälfte der

Befragten den Diebstahl von Firmenda-

ten zu den größten Sicherheits-Risiken

gezählt. Und die Zahl der Wohnungs-

einbrüche ist allein in den vergange-

nen fünf Jahren in Deutschland um ein

Drittel angestiegen. Hier ebenso wie

bei der IuK-Kriminalität zeigt sich

der Präventionswert der Sicherheit-

stechnik: Mehr als 40 % der Einbrüche

bleiben inzwischen im Versuchsstadium

stecken.

comply: Und wie hat sich die Sicherheits-

wirtschaft bezogen auf die sich ändernde

Gefahrenlage entwickelt? Wird den wach-

senden und neuartigen Risiken ausrei-

chend Rechnung getragen? Welche Rolle

kommt derzeit der Sicherheitswirtschaft

beim Wirtschaft sschutz generell zu?

Buhl: Die Sicherheitswirtschaft hat auf

die veränderte Gefahrenlage angemessen

reagiert. Dabei hat die Kreativität einzel-

ner Unternehmen ebenso dazu beigetragen

wie die Kräft e des Marktes. Forschung

und Entwicklung in der Sicherheitstech-

nik verdienen hohe Anerkennung. Ich

erwähne nur die neuen Körperscanner

für die Passagierkontrollen in Flughäfen,

die insbesondere die Sprengstoff detektion

wesentlich verbessern. Die Gefahrenmel-

detechnik, über IP vernetzt mit Video-

überwachung, ermöglicht die Detektion

eines Einbruchversuchs noch bevor hoher

Sachschaden angerichtet wurde. Und sie

ermöglicht das Ansprechen des Täters

aus sicherer Distanz der Leitstelle heraus.

Soft warefi rmen entwickeln immer wirk-

samere Abwehrsysteme gegen die Flut der

Cyber-Angriff e. Hier besteht geradezu ein

Wettlauf zwischen Angreifern und den


Sicherheitswirtschaft

comply. 3/2016 www.comply-online.de 21

Interview

IT-Sicherheitsexperten der Wirtschaft. Die

Rolle der Branche beim Wirtschaftsschutz

verdeutlicht am besten das breite Aktions-

bündnis des Bundesinnenministers mit

den Bundessicherheitsbehörden BSI, BfV,

BND und BKA auf der einen Seite und den

Wirtschaftsverbänden BDI, DIHK, BDSW

und ASW auf der anderen Seite bei der im

Mai diesen Jahres gestarteten „Initiative

Wirtschaftsschutz“.

comply: Ist nach Ihrer

Beobachtung festzustel-

len, dass immer mehr

Sicherheitsaufgaben des

Staates im Bereich des

Wirtschaftsschutzes auf

die private Sicherheitswirt-

schaft übertragen werden?

Wie ist die Entwicklung in

Deutschland im Vergleich

zu anderen Ländern, ins-

besondere den USA oder

den skandinavischen Staa-

ten zu beurteilen?

Buhl: Ich sehe nicht, dass immer mehr

Sicherheitsaufgaben des Staates im Bereich

des Wirtschaftsschutzes – also des Schutzes

der deutschen Wirtschaft vor kriminellen

Bedrohungen, insbesondere der Spionage

ausländischer Nachrichtendienste – auf die

Sicherheitswirtschaft übertragen werden.

Die Sicherheitswirtschaft verfügt nicht

über die Kompetenzen, die der Polizei und

den Nachrichtendiensten zustehen. In den

skandinavischen Staaten spielt das Sicher-

heitsgewerbe generell eine stärkere Rolle als

in Deutschland.

Dagegen nimmt der Staat die Wirtschaft

gerade in jüngster Zeit mehr in die Pflicht,

die Sicherheitsbehörden bei der Gewähr-

leistung des Wirtschaftsschutzes stärker

zu unterstützen. Immer wieder appellieren

Verfassungsschutz und Polizei an die Wirt-

schaft, Anhaltspunkte für Ausspähungs-

angriffe zu melden. Und das im Juli 2015

in Kraft getretene IT-Sicherheitsgesetz ver-

pflichtet die Betreiber bestimmter kritischer

Infrastrukturen, Sicherheitsvorfälle unter

bestimmten Bedingungen an das BSI zu

melden. Bei Verstößen drohen Geldbußen

bis zu 100.000 €.

comply: Besondere Herausforderungen

stellt die IT- und Datensicherheit dar. So

hat etwa in einem Interview für die comply.

der deutsche Hacker Herr Linus Neumann

gesagt, dass es in Deutschland kaum Unter-

nehmen gibt, deren Systeme zu 100 % sicher

wären. Leistet die Sicherheitswirtschaft auch

in dem Bereich einen Beitrag zur Förderung

der Unternehmenssicherheit?

Buhl: Linus Neumann hat völlig Recht

mit seiner Bewertung, dass es eine hun-

dertprozentige Sicherheit der IT-Systeme

nicht gibt. Das gilt übrigens auch für die

physische Sicherheit. Aber das schmälert

nicht die Leistung der IT-Sicherheitswirt-

schaft, die innerhalb der Sicherheitswirt-

schaft parallel zur wachsenden Gefahr

von Cyber-Angriffen und zum Digitalisie-

rungstrend in der Wirtschaft ein immer

stärkeres Gewicht bekommt.

comply: Nun lassen Sie uns versuchen, eine

Brücke zwischen Unternehmenssicherheit

und der Compliance zu schlagen. Immer

mehr Risiko-Felder werden heutzutage im

Rahmen eines Compliance Management

Systems behandelt, so etwa die IT-Sicherheit,

Datensicherheit, etc. Wird sich dies nach

Ihrer Ansicht dahingehend entwickeln, dass

die Sicherheitsaufgaben künftig zu Aufgaben

der Compliance-Abteilung eines Unterneh-

mens gemacht werden?

Buhl: Es gibt in der Tat Konzerne, in denen

Corporate Security dem für Compliance

zuständigen Vorstandsmitglied zugeord-

net ist. Ich nenne nur die Deutsche Tele-

kom. Ich glaube aber nicht, dass hierdurch

Nachteile für die Corporate Security ent-

stehen. Im Gegenteil kann dadurch der

Corporate Security bei Vorstandsentschei-

dungen ein höheres Gewicht zukommen,

als wenn die Unternehmenssicherheit

zu einem operativen Geschäftsbereich

gehört, in dem sie eher als Kostenfaktor

statt als Wertschöpfungsfaktor bewertet

wird. Nachteilig beurteile ich dagegen eine

organisatorische Trennung von physischer

Sicherheit und IT-Sicherheit. Als orga-

nisatorischer Teil des Geschäftsbereichs

IT besteht die Gefahr, dass IT-Sicherheit

dort als entwicklungshemmender lästiger

Kostenfaktor beurteilt wird, anstelle ihrer

Berücksichtigung im frühestmöglichen

Entwicklungsstadium, also „security by

design“.

comply: Hat nach Ihrer Meinung der Ansatz

von „Security Compliance“, also Gewährleis-

tung, dass sicherheitsrelevante Vorschriften

eingehalten werden, was durch Strukturen

und Prozesse begleitet wird, eine Chance?

Buhl: Die Einhaltung sicherheitsrelevanter

Vorschriften in der Wirtschaft hat nicht

nur eine Chance. Sie ist zwingend geboten.

Ihre Befolgung gehört ebenso zu der vom

Unternehmen und seiner Geschäftsführung

einzuhaltenden Compliance wie Normen

des Strafrechts, des Wirtschaftsrechts und

des Arbeitsschutzrechts. Wenn die Unter-

nehmensführung die zur

Compliance gehörenden

Organisations- und Auf-

sichtspflichten verletzt und

dadurch Schäden entstehen,

können gegen das Unterneh-

men oder gegen Personen

der Unternehmensführung

Geldbußen nach dem Ord-

nungswidrigkeitengesetz ver-

hängt werden. Und nach

§§ 91, 93 AktG ist der Vor-

stand einer AG ebenso wie

nach § 43 GmbHG die Geschäftsführung

einer GmbH verpflichtet, wirtschaftlichen

Schaden vom Unternehmen abzuwenden,

der durch Verletzung von Compliance-Re-

geln entsteht. Aber auch das Strafrecht kann

je nach Art des Compliance-Verstoßes zur

Anwendung kommen.

comply: Lassen Sie uns nun die andere Seite

der Medaille betrachten. Bekanntlich steigen

die diversen Aufgaben, mit denen private

Sicherheitsunternehmen beauftragt werden,

sowie derer Komplexitätsniveau, konstant.

Die Sicherheitsunternehmen bewegen sich

oft selbst in Konstellationen, in denen starke

regulatorische Vorgaben einzuhalten sind.

Das fordert die Sicherheitsunternehmen

selbst, für interne Compliance und Qualität

zu sorgen. Wie bewerten Sie die bisherigen

Anstrengungen der deutschen Sicherheitsun-

ternehmen in dem Bereich?

Buhl: Bei den bisherigen Anstrengungen

der deutschen Sicherheitsunternehmen, für

Compliance und Qualität zu sorgen, sehe ich

Licht und Schatten. Es gibt zirka 4.000 Sicher-

heitsdienstleister, aber nur etwa 900 sind

Mitglieder des Bundesverbandes BDSW, der

nur Unternehmen als Mitglieder aufnimmt,

die rechtstreu und zuverlässig sind. Nicht alle

haben ein wirksames Qualitätsmanagement.

Und es gibt immer noch „schwarze Schafe“

in der Branche, die mit Dumpingpreisen das

„schnelle Geld“ machen wollen. Jeder skan-

dalöse Compliance-Verstoß ist „Wasser auf

die Mühlen“ der Kritiker. Und das Sicher-

heitsgewerbe steht seit jeher unter beson-

ders kritischer Beobachtung der Politik, der

Medien und der Öffentlichkeit.

„IT-Sicherheit sollte organisatorisch

im frühestmöglichen Entwicklungsstadium

als „security by design“ berücksichtigt

werden.“


22

Interview


comply: Gewiss ist in der Sicherheitsbran-

che das Th ema Compliance noch nicht in

dem Maße angekommen, als das bei gro-

ßen DAX-Unternehmen der Fall ist. Die

wesentliche Entwicklung war dort insbes.

durch große Wirtschaft sskandale, wie etwa

den SIEMENS-Fall, hervorgerufen worden.

Könnte ein ähnlicher Fall ein Auslöser für die

Beschäft igung der Sicherheitsunternehmen

mit dem Compliance-Th ema sein?

Buhl: Wir brauchen keinen Skandal mit

großen Schlagzeilen, damit Compliance

zu einem wichtigen und ernstgenomme-

nen Th ema in der Sicherheitswirtschaft

wird. Ich habe selbst in einem Beitrag im

Fachorgan DSD des BDSW, in dem ich

als Vizepräsident tätig bin, vor Jahren

die Notwendigkeit von Compliance im

Sicherheitsgewerbe ausführlich dargestellt

und die besonderen Herausforderungen

beschrieben. Diese ergeben sich zum Bei-

spiel aus der Funktion des Gewerbes, der

Marktsituation und aufgrund der oft geüb-

ten Praxis einer Auft ragsvergabe an den

billigsten Sicherheitsanbieter – anstelle der

Berücksichtigung des wirtschaft lichsten

und qualitativ angemessenen Angebots.

Auch das immer komplexere Regelungs-

umfeld für Dienstleistung an sich oder

auch die Auft ragsvergabe ist ein Faktor,

den die Compliance eines Sicherheitsun-

ternehmens im Auge haben sollte. Ver-

säumnisse in diesem Feld können nicht

nur teuer werden, im Extremfall sind sie

sogar existenzgefährdend.

comply: Falls es, was wir hoff en, an solchen

Auslösern mangeln wird, sollte nach Ihrer

Ansicht der Gesetzgeber für Anreize sorgen,

indem etwa vorhandene Compliance-Sys-

teme beim Regelverstoß sanktionsmildernd

berücksichtigt würden? Solche Anreize stellen

in vielen Ländern bereits gängige Praxis dar.

Buhl: Ein im Sicherheitsunternehmen

praktiziertes Compliance Management

System (CMS) sollte bei einem Regel-

verstoß berücksichtigt werden, wenn er

in einer Verletzung der zur Einhaltung

der Compliance erforderlichen Organi-

sations- und Aufsichtspfl ichten besteht.

Das ist zum Beispiel der Fall, wenn kein

Compliance Offi cer eingesetzt ist, der

mindestens „nebenamtlich“ tätig ist,

wenn keine Compliance Awareness durch

Information und Schulung der Manager

und Mitarbeiter durchgeführt wurde,

keine risikobasierten Kontrollprozesse

bestehen oder kein Whistleblowing-Sys-

tem eingeführt worden ist. Generell gilt:

Wenn ein Compliance-Fehler nachge-

wiesen worden ist, sollte das betroff ene

Unternehmen nachvollziehbar darlegen,

wie es ähnliche Fälle in Zukunft vermeiden

will. Geschieht dies durch ein neues oder

angepasstes Compliance-System, können

sanktionsmildernde Maßnahmen bei der

zügigen Umsetzung helfen. Aber auch sol-

che Anreize können keine hundertprozen-

tige Sicherheit garantieren.

comply: Wie könnten nach Ihrer Ansicht

Sicherheitsunternehmen ansonsten noch

dazu animiert werden, selbst eigene Com-

pliance-Systeme einzuführen? Oder besteht

hierzu nach Ihrer Auff assung überhaupt kein

Bedarf?

Buhl: Auf der Angebotsseite bin ich nicht

der Meinung, dass es weiterer Anreize zur

Einführung eines CMS über die beste-

hende Verpf lichtung nach dem Aktien-

gesetz, dem GmbHG sowie dem auch für

die Sicherheitswirtschaft geltenden Cor-

porate Governance Kodex hinaus bedarf.

Unser Bundesverband BDSW verlangt

von seinen Mitgliedsunternehmen abso-

lute Compliance. Andererseits würde ich

mir auf der Nachfrageseite wünschen,

dass Qualität und Compliance – zum

Beispiel bei öffentlichen Ausschreibungen

– stärker als Vergabekriterium gewichtet

werden.

comply: Zusammenfassend möchten wir

Ihnen noch eine allgemeine Abschlussfrage

stellen: Neuartige Risiken für die deutsche


Wirtschaft und der Beitrag der Sicherheits-

wirtschaft zu ihrem Schutz – was wird sich bis

2020 im Wesentlichen ändern?

Buhl: Unter Berücksichtigung der derzeit

erkennbaren Trends wird die kriminelle

und terroristische Bedrohung der deut-

schen Wirtschaft weiter steigen. Die zuneh-

mende Globalisierung und Vernetzung der

Wirtschaft steigert insbesondere in Kri-

senregionen die Bedrohung durch inter-

nationalen Terrorismus. Die zunehmende

Digitalisierung der Wirtschaft macht sie

angreifb ar durch Cyber-Kriminelle. Und

auch die Wirtschaft sspionage wird durch

die auseinandergehende Schere zwischen

starken und schwachen Volkswirtschaft en

eher zunehmen. Die Sicherheitswirtschaft

wird dieser Entwicklung nicht tatenlos

zusehen, sondern ihre Leistungsfähig-

keit ständig optimieren: durch immer

wirksamere Sicherheitstechnik, durch

Integration dieser Sicherheitstechnik in

das kundenspezifi sche Angebot gesamt-

heitlicher Sicherheitslösungen, durch ver-

stärkte Beratung der Wirtschaft , vor allem

der mittelständischen Unternehmen, die

erkennbare Defi zite in der Corporate Secu-

rity aufweisen, durch Fokussierung auf

den Schutz kritischer Infrastrukturen und

durch einen höheren Digitalisierungsgrad

der eigenen Infrastruktur.

comply: Lieber Herr Buhl, herzlichen Dank

für das Gespräch!

23

Essentials

comply. 3/2016 www.comply-online.decomply. 1/2016 www.comply-online.de

Außenwirtschaft

Bestell-Hotline: 02 21/ 9 76 68-173/357E-Mail: [email protected]: 02 21/ 9 76 68-232 · in jeder Fachbuchhandlung

www.aw-portal.de/bestellung-awJetzt versandkostenfrei (deutschlandweit) bestellen:

www.bundesanzeiger-verlag.de

22. Jahrgang · 17. August 2016 · Seiten 201–228

8/2016

HERAUSGEGEBEN IN VERBINDUNG MIT DEMEUROPÄISCHEN FORUM FÜR AUßENWIRTSCHAFT,VERBRAUCHSTEUERN UND ZOLL E.V.

Ergänzung zur AW-Prax – Außenwirtschaftliche Praxis www.aw-portal.de

Rüstungsexporte 2015Freihandelsabkommen: Südkorea,CETA, TTIP, IndonesienZollpräferenzen: Ägypten, Zentral-amerika, westliche Balkan-staaten, MAR-StaatenHandelsbeziehungen der EUmit China

Zollrechtliches Ausfuhrverfah-ren – Anpassung an den UZKBAFA-Leitfaden„Technologietransfer undNon-Proliferation“

Gesetzgebungs-ReportSeminareStellenmarkt


Vertriebspartnerin Österreich:

Kitzler Verlag

22. Jahrgang · 17. August 2016 · Seiten 265–300

8/2016

ISSN

0947

-301

7Bundesanzeige

rVerlag

GmbH.,Postfach10

0534

,504

45Köln

Postv

ertriebsstü

ck–Entge

ltbezahlt

–G13

772

HERAUSGEGEBEN IN VERBINDUNG MIT DEMEUROPÄISCHEN FORUM FÜR AUßENWIRTSCHAFT,

VERBRAUCHSTEUERN UND ZOLL E.V.

Außenwirtschaftliche Praxis – Zeitschrift für Außenwirtschaft in Recht und Praxis www.aw-portal.de


Vertriebspartnerin Österreich:

Kitzler Verlag

Großbritannien nach demReferendum

Erwerb und Beteiligung an inlän-dischen Unternehmen durchausländische Investoren

Prozessumstellungen durchUZK

Die Korridore der Zukunft

Der handelspolitischeWarenursprung imUnionszollkodex

Zusätzliche Zollersparnissedurch erweiterte Nutzungvon Allgemeinen Präfe-renzsystemen

Zukunftsmarkt Asien –Länderreport Philippinen

ISSN 0947-301760 Seiten, A4, geheftet,Erscheinungsweise: monatlich Jahresabonnement: 291,30 €

Werden Sie jetzt AW-Prax-Abonnent!

Sichern Sie sich eine attraktive Prämie für ein Jahresabonnement oder testen Sie das 3 für 2 Kennenlern-Abo.

AW-PraxAußenwirtschaftliche PraxisZeitschrift für Außenwirtschaft in Recht und PraxisDer wirtschaftliche Erfolg eines Unternehmens hängt immer mehr davon ab, dassder grenzüberschreitende Warenverkehr schnell und reibungslos abgewickelt wird.In kaum einem anderen Bereich Ihres Unternehmens ändern sich Rechtsvorschriften schneller. Topaktuelle Informationen sind unerlässlich, um auf neue gesetzlicheVorgaben schnell reagieren zu können.Die AW-Prax bereitet das Außenwirtschafts- und Zollrecht kompetent und praxisnah auf, damit Sie jeden Tag wissen, welche Rechtsänderungen auf Sie zukommen und welche Konsequenzen daraus für Ihre tägliche Arbeit zu ziehen sind.Die Zeitschrift behandelt aktuell alle wichtigen Fragen des Außenwirtschaftsrechts schwer-punktmäßig für den Bedarf außenhandelsorientierter Unternehmen (Industrie, Handel, Dienst-leistungen). Kompetente Fachleute aus den verschiedensten Bereichen des Außenwirtschafts-rechts, aus Firmen, Verbänden, Ämtern und Industrie- und Handelskammern behandeln aktuelle Fragen und gesetzliche Vorgaben, informieren über anstehende Veränderungen, nehmen kritisch Stellung und vermitteln darüber hinaus berufspraktische Erfahrungen bei der Anwendung vorgeschriebener Verfahren und Formulare.

AUS DEM INHALT IHRE VORTEILE

Praktische Beilage für die Hausverteilung: Der „AW-Prax-Newsticker“ mit den aktuellen Nachrichten

Monatlich die wichtigsten Fakten und praxisnah aufbereitete Beiträge aus den Themengebieten

Praxisorientierte Beitragsserien zu komplexeren Themen Ihr Wissens-Vorsprung: Den Nachrichtenteil „AW-Prax Newsticker“ erhalten zusätzlich bequem per E-Mail

Praktiker aus Wirtschaft, Industrie und Verwaltung liefern solide Informationen und Hintergründe

Inklusive Nutzung des Online-Archives

Mit dem entscheidenden Mehrwissen für Außenhandels-Experten!

ShoppingBON Einkaufsgutschein

EuroEuro55555505050505005000

5555555000000000€€€€50

50

... und viele weitere Partner

ShoppingBON Einkaufsgutschein

EuroEuro55555505050505050000

5555555000000000€€€€50

50

... und viele weitere PartnerJetzt attraktive Prämie sichern!

24

Flughafensicherheit und ComplianceSecurity und Safety Compliance zwischen branchenübergreifenden Standards und individuellen Anforderungen im interdisziplinären Austausch der Linienfunktionen und Stabseinheiten.Die deutschen Flughäfen sind – neben den großen Hubs – im Wesentlichen eine mittelständisch geprägte

Branche mit hoher volkswirtschaft licher und regionalpolitischer Bedeutung. Über 20 internationale

Verkehrsfl ughäfen sind Teil der deutschen Flughafenlandschaft und gestalten so einen leistungsstarken

Luft verkehrsstandort Deutschland. Flughafenunternehmen sind strukturell und organisatorisch einer-

seits mit konventionellen Unternehmen vergleichbar und verfügen über etliche Fach- und Funktions-

bereiche, die nicht spezifi schen Besonderheiten der Luft fahrtbranche folgen, sondern in nahezu allen

Organisationen zu fi nden sind. Ergänzt werden diese Strukturen allerdings um spezielle Th emenfelder,

die es – zumal im Zusammenspiel mit zahlreichen Behörden und Institutionen auf Landes-, Bundes-,

EU-Ebene und international – in dieser Ausprägung nur an einem internationalen Verkehrsfl ughafen

gibt. Diese gehören zum eigentlichen Kernbereich einer Flughafenorganisation. Der nachfolgende Bei-

trag zeigt auf, dass bei der Security und Safety Compliance sowohl branchenübergreifende Standards

als auch branchenspezifi sche Ansätze zu berücksichtigen sind.

Security ComplianceBrennpunkt

Security Compliance Brennpunkt

Security und Safety Compliance

Für das Airport-Umfeld sind dies vor allem Sicher-

heitsthemen im weitesten Sinne. Unterschieden wird

dabei im Kern zwischen Security und Safety.

Klassische Unternehmenssicherheitreicht bis zum Schutz vor CyberattackenZunächst bleibt festzuhalten, dass sich die klassische

Unternehmenssicherheit (Security) – so das gene-

relle Verständnis – auch an einem Flughafen zum

einen mit dem physischen Schutz der Gebäude und

Standorte eines Unternehmens, der Mitarbeiter (z.B.

Schlüsselpersonen bzw. auch Reisesicherheit bei

Geschäft stätigkeit in potenziellen Krisenregionen)

und Geschäft spartner, den Schutz des Know-hows

und der IT-Infrastruktur des Unternehmens beschäf-

tigt, ggf. mit ganz unterschiedlicher Priorisierung. Ein

Bereich, der durch die immer dichter werdende globale

Vernetzung der Informations- und Kommunikations-

technologie in jeder Hinsicht an Dynamik gewinnt, ist

der Th emenkomplex der Cyberrisiken und -attacken.

Etliche Beispiele zeigen, dass solche Angriff e auch auf

verschiedene Sektoren der öff entlichen Daseinsvor-

sorge (im weitesten Sinne) zielen können.

foto

lia.c

om

Martin Stadelmaier

Der Autor ist Leiter der

Rechtsabteilung am

Airport Stuttgart. Als

strategischer Partner

berät seine Abteilung

die Führungsebenen

der Flughafen Stuttgart

GmbH und ist zugleich

zentrale Schnittstelle

im Rahmen des Com-

pliance Managements.

Er ist stellvertretender

Vorsitzender der Fach-

gruppe Compliance des

Bundesverbands der

Unternehmensjuristen

(BUJ) und Mitglied im

Normungsausschuss

Compliance-Manage-

ment-Systeme des

DIN e.V.

Standards sind nur die Basis für individuelle Compliance

Oder anders formuliert: Es gibt an einem Flugha-

fen (fast) nichts, was es nicht gibt. Demnach gilt die

gute alte Compliance-Regel, dass es keine „one size

fi ts all“-Lösung geben kann, insbesondere für die-

ses hochkomplexe Umfeld. Dabei muss Compliance

zwar nicht völlig neu gedacht werden, im Sinne eines

sehr ausgeprägten interdisziplinären Ansatzes ist

aber eine viel stärkere Verzahnung zwischen den

Linienfunktionen und den diversen nachgelagerten

Stabseinheiten erforderlich. In diesem Kontext sehen

sich die Flughafenbetreiber mit einer wachsenden

Zahl von Compliance-Anforderungen konfrontiert,

wobei in bestimmten Kernbereichen eine zuneh-

mende Standardisierung und damit verbundene

Regulierung erfolgt. Dabei wird deutlich, dass der

Compliance Scope – je nach Besonderheiten eines

Sektors – nicht klassischen Mustern folgen kann,

sondern stets individuell bestimmt werden muss.

Informationssicherheit/Schutz der IT-Infrastruktur vor

Cyberangriffen (ggf. mit Schnittstellen zum

Datenschutz)

ProduktsicherheitAnlagensicherheit

Allgemeine Betreiberverantwortung


Brennpunkt

Schutz kritischer Infrastrukturen durch das IT-SicherheitsgesetzDer Gesetzgeber hat auf diese Entwicklung reagiert

und insbesondere mit dem IT-Sicherheitsgesetz

(2015) und den dazugehörigen Verordnungen (teil-

weise noch am Entstehen, bis voraussichtlich Anfang

2017) entsprechende Regelungen für Betreiber Kri-

tischer Infrastrukturen in verschiedenen Sektoren

geschaff en. Parallel zur Europäischen Cybersicher-

heitsstrategie hatte die Europäische Kommission

bereits in 2013 einen Richtlinienentwurf vorgestellt.

Ziel der vorgeschlagenen Richtlinie ist es, die Netz-

werk- und Informationssystemsicherheit (NIS) in der

EU zu verbessern. Die einzelnen EU-Mitgliedstaaten

sollen eine zentrale Stelle für NIS-Meldungen einrich-

ten. Die nationalen NIS-Meldestellen, die auf diesem

Weg Informationen erhalten haben, sollen diese an

die Unternehmen in ihren Zuständigkeitsbereichen

weitergeben. Reaktionen auf bzw. Maßnahmen gegen

NIS-Bedrohungen sollen durch die NIS-Behörden

und die ENISA (European Union Agency for Net-

work and Information Security) EU-weit koordiniert

werden.

Inwieweit diese Anforderungen die Flughäfen

insgesamt treff en werden – und damit die Frage, ob

Flughäfen egal welcher Größe immer als Kritische

Infrastruktur gelten – ist abhängig von der weiteren

Ausgestaltung des Verordnungsgebers. Es ist davon

auszugehen, dass zumindest die größten deutschen

Flughäfen tangiert sein werden.

Kernbereich ist die regulierte LuftsicherheitIm Kontext der Security (-Compliance) ist jedoch

eigentlicher Kernbereich die Luft sicherheit an Flug-

häfen, die durch eine Vielzahl an Regelwerken auf

EU- und Bundesebene reguliert wird. Mit dem Luft -

sicherheitsgesetz (Luft SiG) wurden z.B. im Wesentli-

chen alle Vorschrift en zum Schutz des Luft verkehrs

in einem nationalen Gesetz zusammengefasst. Zu den

EU-weit einheitlichen Sicherheitsmaßnahmen zählen

heute unter anderem die Personal- und Warenkont-

rollen, sowie die vollständige Kontrolle des aufgege-

benen Gepäcks.

Die Mitgliedstaaten wurden außerdem zur Erstel-

lung eines Nationalen Luft sicherheitsprogramms,

eines Nationalen Qualitätskontroll- und Schulungs-

programms sowie zur Durchführung umfassender

Audits im Hinblick auf die Einhaltung der Sicher-

heitsbestimmungen auf den Flughäfen verpfl ichtet.

Wesentliche Teile der Luft sicherheit sind nach wie

vor hoheitlich ausgestaltet, sodass an dieser Stelle

das Th ema der verschiedenen Schnittstellen zwi-

schen Flughafenbetreiber und Behörden große

Bedeutung hat. Ein Flughafenbetreiber muss den

gesamten Bereich der Security aus Compliance-Sicht

zuverlässig organisieren, soweit ihn als Betreiber

diesbezügliche Pfl ichten treff en.

Das Th emenfeld der „Security Compliance“ ist weit

und komplex. Für einen Flughafen jedoch ein wichti-

ger Erfolgsfaktor auch hinsichtlich des Business Con-

tinuity Managements.

Abbildung: Security und Safety Compliance

Security Compliance

„Klassische”Unternehmenssicherheit (Absicherung/Schutz von

Standorten, Werksgelände, Gebäuden, Personenschutz,

Reisesicherheit etc.)

Arbeits- und Gesundheitsschutz

(ggf. Umweltschutz)

speziell: Themenkomplex

Luftsicherheit

speziell: Sicherheit des

Flughafenbetriebs (ICAO, EASA)

Security Safety

© d

ream

er82

– fo

tolia

.c


Brennpunkt


„safety fi rst“

Die „Schwesterdisziplin“ der Security ist die „Safety“.

Safety meint neben klassischen Th emen wie Arbeits-

und Gesundheitsschutz bzw. die Anlagensicherheit

im Rahmen der allgemeinen Betreiberverantwor-

tung einer Organisation an dieser Stelle die (fl ug-)

betriebliche Sicherheit als zentrales Complian-

ce-Th ema mit höchster Priorität („safety fi rst“).

Im Fokus ist dabei vor allem die Sicherheit des

Flughafenbetriebs. Alle Faktoren, die die Sicherheit

beeinfl ussen können, werden dabei berücksichtigt,

seien sie infrastruktureller/technischer, organi-

satorischer Natur oder integriert in bestimmten

Verfahren oder Prozessen. Auch dieser Bereich ist

mittlerweile durch zahlreiche Regelwerke vor allem

auf europäischer Ebene reguliert worden. Dabei

kommt vor allem der EASA (European Aviation

Savety Agency) eine Schlüsselrolle bei der Umset-

zung zu, die seit einigen Jahren auch für die Flug-

häfen zuständig ist, wobei die nationalen Behörden

zunächst originär die Umsetzung organisieren bzw.

beaufsichtigen und wiederum nachgelagert von der

EASA überwacht werden. Die EASA verfolgt dabei

einen umfassenden Systemansatz, um die Safety an

Flughäfen letztlich europaweit zu harmonisieren

und sicherzustellen. Die Safety Compliance (man

spricht neuerdings auch von der EASA-Compli-

ance) ist damit der Th emenkomplex, der die wohl

meisten Schnittstellen aufweist, sowohl intern als

auch extern. Das macht das spezifi sche Compliance

Management in diesem Bereich zu einer sehr kom-

plexen Herausforderung.

FAZIT

Der kurze Streifzug durch einige Teilaspekte

der (Unternehmens-) Sicherheit an einem

Flughafen verdeutlicht, dass das Compli-

ance Management nicht lediglich die allseits

diskutierten Th emenfelder beinhaltet, son-

dern in der Regel weit darüber hinausgeht.

Letztlich werden im Sinne der Rechtspre-

chung sämtliche Compliance-Pfl ichten, die

sich aus ganz unterschiedlichen Richtungen

sowohl extern als auch intern ergeben kön-

nen, in einem Unternehmen zuverlässig

zu organisieren sein, sodass ein zu enger

Compliance-Ansatz nicht zielführend ist.

Die Frage ist aber, welche konkrete Rolle

dabei der Compliance-Funktion – ggf. im

Rahmen von bereits bestehenden sonstigen

Zuständigkeiten – zukommt bzw. welche

Th emen unternehmensintern überhaupt

unter dem „Label“ Compliance diskutiert

oder in der Compliance-Organisation (im

engeren Sinne) verortet werden. Die Band-

breite der organisatorischen Ausgestal-

tungsmöglichkeiten ist groß. Ein „richtig“

und „falsch“ gibt es nicht. Die nüchterne

Einhaltung der bestehenden Pfl ichten ist

zunächst Sache der Linienfunktionen, was

eine konsequente Delegation im Betrieb

voraussetzt. Egal ob man dies nun „Com-

pliance“ nennt oder nicht. Auch einzelnen

spezifi schen Beauft ragten kann dabei eine

bestimmte (Compliance-) Teilverantwor-

tung zukommen. Man denke z.B. an das

Th ema Datenschutz (den Datenschutzbeauf-

tragten) oder andere typische Beauft ragte

in Unternehmen (Informationssicherheit,

Produktsicherheit, Umwelt, Qualität,

Arbeitsschutz oder spezielle branchenspe-

zifi sche Funktionen nach EASA etc.). Am

Beispiel der doch bisweilen sehr umfassen-

den Sicherheitsthemen – gerade im Airport-

umfeld – zeigt sich, dass dabei vor allem

die verschiedenen Schnittstellen zuverlässig

organisiert werden müssen. In diesem Sinne

kann ein interdisziplinärer Ansatz durch-

aus zielführend sein, zum Beispiel durch

die Einrichtung von übergreifend besetzten

Gremien oder Teams und/oder ein fachlich

breit aufgestelltes Compliance Board mit

entsprechenden Koordinierungsaufgaben.

Security Compliance

Informationssicherheit im Unternehmen IT-Grundschutz adressiert mit neuen Angeboten verstärkt KMU

Erpressungsversuche mit Ransomware, Ausspähung durch APT-Angriff e, infi zierte Webseiten oder ein

Server, der plötzlich ausfällt: Die Bedrohungslage für die Informationssicherheit von Unternehmen und

Behörden gestaltet sich heute vielfältig. Um Geschäft sprozesse mittels IT und über das Internet sicher

betreiben zu können und damit auch langfristig wettbewerbsfähig zu sein, müssen Unternehmen sich

zunehmend besser zu Fragen der IT- und Informationssicherheit aufstellen.

© A

skol

d Ro

man

ov –

isto

ckph

oto.

com


Brennpunkt

Die „Bausteine“ sind aktueller und übersichtlicher

Elementarer Bestandteil der IT-Grundschutz-

Methodik sind die Bausteine. Sie enthalten künft ig

die wichtigsten Anforderungen an eine bestimmte

Th ematik – zum Beispiel WLAN-Betrieb, mobile

Datenträger o.Ä. – auf maximal zehn Seiten. Kon-

krete Umsetzungsempfehlungen werden je nach

Th ema zielgruppengerecht und ergänzend veröff ent-

licht. So benötigt ein Sicherheitsbeauft ragter in der

Regel kein umfangreiches Wissen darüber, wie die

Anforderungen im Detail umgesetzt werden können.

Das BSI kann in Zukunft dadurch zeitnäher Bausteine

zu aktuellen Entwicklungen veröff entlichen und die

Anwender sparen mit den modernisierten Bausteinen

Zeit und Ressourcen. Und auch ihre Expertise ist stär-

ker gefragt: In einem neuen Veröff entlichungsprozess

werden neue Bausteine künft ig als sogenannte Com-

munity Draft s auf der IT-Grundschutz-Webseite zur

Kommentierung zur Verfügung gestellt. Mit dem

Input aus der Praxis können die Inhalte bis zum

fertigen Baustein noch weiter optimiert werden. Die

ersten Community Draft s, u.a. zu Server-, Client- und

Personal-Sicherheit sind bereits zur Kommentierung

veröff entlicht.1

Je nach Anforderungen auswählbare Vorgehensweisen und modulare Profi le

Eine weitere Neuerung besteht in der veränderten

Ausrichtung der Vorgehensweisen. Institutionen

können künft ig zwischen drei unterschiedlichen Vor-

gehensweisen auswählen:

IT-Grundschutz leistet wichtigen Beitrag zur Informationssicherheit

Das Bundesamt für Sicherheit in der Informationstech-

nik (BSI) bietet dazu bereits seit rund zwanzig Jahren

einen pragmatischen Weg zur Feststellung des individu-

ellen Schutzbedarfs im Bereich IT- und Informationssi-

cherheit an. Sicherheitsverantwortliche können mit den

unterschiedlichen Angeboten der IT-Grundschutz-Me-

thodik einen wichtigen Beitrag zur Erhöhung des

Niveaus der Informationssicherheit in ihrer Institution

leisten. Der pragmatische Ansatz des IT-Grundschutzes

zeichnet sich dadurch aus, dass die kontinuierlich wei-

terentwickelte Informations- und Methodensammlung

Gefährdungsklassen für unterschiedliche Systeme und

Anwendungen je nach Einsatzgebiet betrachtet. Doch

der IT-Grundschutz ist in einem dynamischen Span-

nungsfeld verortet, das den Ansatz vor immer neue An-

und Herausforderungen stellt.

Rasante Innovationszyklen und zuneh-mende Komplexität erfordern organisier-tes Vorgehen gegen Cyber-Angriffe

Die Entwicklungen in der Informationstechnik

erfolgen heute in immer kürzer werdenden Innova-

tionszyklen. Zugleich zeichnen sich die technischen

Systeme durch eine steigende Komplexität aus. In

immer mehr Bereichen des öff entlichen sowie des

Geschäft slebens wächst die Abhängigkeit von funk-

tionierender Technik. Die Vernetzung und Steue-

rung von Industrieanlagen, Smart Home, Internet of

Th ings und Connected Cars werden Sicherheitsex-

perten und Anwender in den kommenden Jahren vor

weitere Herausforderungen stellen. Und das Manage-

ment von Institutionen muss sich inzwischen zuneh-

mend mit der Frage befassen, welche Auswirkungen

ein Cyber-Angriff mit sich bringen kann. Neben der

eigenen Institution können auch Kunden, Lieferanten

und Geschäft spartner sowie weitere Gruppen betrof-

fen sein. Daher ist ein geplantes und organisiertes

Vorgehen aller Beteiligten notwendig, um ein ange-

messenes und ausreichendes Sicherheitsniveau aufzu-

bauen und aufrechterhalten zu können.

Neue Ausrichtung auf mehr Praxisbezug und Effi zienz

Die IT-Grundschutz-Methodik ist aufgrund dieser Ent-

wicklungen sowie der Rückmeldung aus der Commu-

nity, dass das Standardwerk inzwischen zu umfangreich

und detailliert geworden sei, einer Runderneuerung

unterzogen worden. Unter Beteiligung der engagierten

IT-Grundschutzanwenderschaft arbeitet das BSI daran,

in Zukunft ein umfassendes Standardwerk bereitzu-

stellen, das zugleich eine vereinfachte Handhabbarkeit

ermöglicht: Der IT-Grundschutz soll aktueller, pra-

xisnäher und schneller werden. Diese übergeordneten

Ziele werden künft ig besonders in den Kern-Angeboten

umgesetzt, damit IT-Security-Verantwortliche ihre Auf-

gaben – die Absicherung von (digitalen) Informationen

und Systemen – noch effi zienter wahrnehmen können.

Isabel Münch

Die Autorin leitet das

Referat IT-Grundschutz

beim BSI.

Security Compliance

Abbildung 1: Kernaspekte des modernisierten Grundschutzes

Bausteine

Profi le

Vorgehens-weise

Profi le

Kernaspekte der Modernisierung

„Modernisierung” IT-Grundschutz

30

Brennpunkt


Bedürfnisse anpassen und anschließend und für wei-

tere interessierte Nutzer veröffentlichen können. Im

nächsten Schritt liefern die IT-Grundschutz-Profile

die Grundlage, um branchenspezifische Sicher-

heitsstandards entwickeln und stetig fortschreiben

zu können. Neben der Weitergabe von Know-how

können sich Unternehmen mit denselben Sicher-

heitsthemen vernetzen und gegenseitig von den

Erfahrungen anderer Institutionen profitieren.

KMU im Fokus

Die neuen Angebote des IT-Grundschutzes können

künftig von Institutionen jeder Größenordnung zur

Absicherung ihrer Informationsverbünde genutzt

werden. Neben Behörden und größeren Wirtschafts-

unternehmen sollen auch kleine und mittelständische

Unternehmen besser mit den IT-Grundschutzmaß-

nahmen arbeiten können. Aufgrund fehlender

personeller wie finanzieller Ressourcen sind KMU

zum Thema Informationssicherheit häufig noch

schlechter aufgestellt als größere Institutionen und

benötigen daher Herangehensweisen, die schnell

zu ersten Ergebnissen führen. Außerdem wurden

im IT-Grundschutz als Themen Automatisierungs-,

Prozesssteuerungs- und Prozessleitsysteme (Indus-

trial Control Systems, ICS) aufgenommen sowie die

Aspekte Detektion und Reaktion. Ob es sich um Ran-

somware, einen APT-Angriff oder einen Server-Aus-

fall handelt – IT-Grundschutz-Anwender sind im

Ernstfall gut aufgestellt. Und im Idealfall kommt es

dank eines gut aufgesetzten Prozesses zur Informati-

onssicherheit gar nicht soweit.

Basis-Absicherung für den schnellen Einstieg in ein SicherheitsmanagementBei der Basis-Absicherung handelt es sich um eine

grundlegende Absicherung der Geschäftsprozesse

und Ressourcen einer Institution. Sie ermöglicht

einen ersten Einstieg in ein Sicherheitsmanagement,

um schnellstmöglich die größten Risiken zu sen-

ken. Im nächsten Schritt können die tatsächlichen

Sicherheitsanforderungen im Detail analysiert wer-

den. Diese Vorgehensweise ist daher besonders für

kleine und mittelständische Unternehmen (KMU)

geeignet.

Kern-Absicherung nimmt elementare Geschäftsprozesse und Ressourcen in den FokusDie Kern-Absicherung dient als weitere Einstiegsvor-

gehensweise dem Schutz der elementarsten Geschäfts-

prozesse und Ressourcen. Die Kern-Absicherung

unterscheidet sich vom klassischen IT-Grundschutz

durch die Fokussierung auf einen kleinen, aber sehr

wichtigen Teil eines Informationsverbundes.

Standard-Absicherung für hohen SchutzbedarfDie dritte und vom BSI präferierte Standard-Absi-

cherung entspricht in den Grundzügen der Vorge-

hensweise nach dem aktuellen IT-Grundschutz nach

BSI-Standard 100-2.

IT-Grundschutz-Profile als Grundlage für branchenspezifische SicherheitsstandardsEine weitere Neuheit stellen die sogenannten

IT-Grundschutz-Profile dar. Mit ihnen stellt das

BSI ein flexibles Angebot bereit, mit dem Anwen-

dergruppen den IT-Grundschutz an ihre konkreten

Security Compliance

Abbildung 2: Stufen der Absicherung

Vorgehen Überblick

Standardabsicherung

Schutzbedarfnormal

Basisabsicherung

Kern

absi

cher

ung


1 https://www.bsi.bund.de/DE/Th emen/

ITGrundschutz/IT-Grundschutz-

Modernisierung/GS_Draft s/gs_draft s_

node.html

FAZIT

Mit der IT-Grundschutz-Methodik setzen

Sicherheitsverantwortliche auf ein erprobtes

und bewährtes System, das nach der generel-

len Modernisierung noch besser in einer Ins-

titution anwendbar und realisierbar sein wird:

Aktuellere Informationen, eine schnellere

Bereitstellung und noch mehr Praxiswissen in

allen IT-Grundschutz-Angeboten unterstüt-

zen den Anwender dabei, Zeit und Ressourcen

zu sparen. Mit dem ganzheitlichen Ansatz

können Institutionen jeder Größenordnung

für ihre individuellen Sicherheitsanforderun-

gen ein Standard-Sicherheitsniveau aufb auen,

um geschäft lich relevante Informationen zu

schützen. Die neu aufgestellten Angebote

adressieren künft ig noch mehr KMU sowie

Industrieunternehmen, die mit industriellen

Steuerungsanlagen arbeiten. Ein bewährtes

Konzept um neue und aktuelle Inhalte ange-

reichert: Der IT-Grundschutz des BSI leistet

damit einen wichtigen Beitrag zur Erhöhung

des Sicherheitsniveaus aller Institutionen in

Deutschland.

BrennpunktSecurity Compliance

Unternehmen und Wirtschaft

Bestellung und Beratung: Tel. 0221/ 9 76 68-291/-315

Fax 0221/9 76 68-271 · in jeder Fachbuchhandlung

shop.bundesanzeiger-verlag.de/915-3Jetzt versandkostenfrei (deutschlandweit) bestellen:


IHRE VORTEILE

Vereinfacht erheblich den arbeitsintensiven Prozess der Erstellung eines IT-Sicherheitskonzeptes; komplexe Analysen entfallen

Identifizieren Sie einfach die Sicherheitsdefizite durch einen Abgleich des Soll- und Ist-Zustandes

Ermitteln Sie schnell die passenden Sicherheitsmaßnahmen

Hält Sie mit Ergänzungen und Aktualisierungen nach Vorgabe des BSI auf dem aktuellen Stand


IT-Grundschutz-KatalogeStandardwerk zur IT-Sicherheit

PR

AX

IS

WI

SS

EN

PR

OF

ES

SI

ON

AL

S

Nutzen auch Sie das Standardwerk des BSI!

IT-Grundschutz-KatalogeStandardwerk zur IT-SicherheitDie IT-Grundschutz-Kataloge empfehlen auf der Basis bekannter Gefahren und Schwachstellen Maßnahmenbündel für typische IT-Konfigurationen, Umfeld- und Organisationsbedingungen.

ISBN 978-3-88784-915-3Loseblattwerk, ca. 5100 Seiten, Format 21 × 29,7 cm, 152,– € Das Loseblattwerk wird bei Bedarf aktualisiert. Der Preis der Ergänzungs-lieferungen richtet sich nach deren Umfang.

inkl. MwSt. und Versandkosten(deutschlandweit)

32

red teamWarum Angriff die bessere Verteidigung ist!

„Angriff ist die beste Verteidigung“ – so sagt man. Unternehmen die von Hackern angegriff en werden

hilft diese Aussage nicht. Sie stellen die Frage: Wer sollte angegriff en werden und mit welchen Mit-

teln? Die fehlende Zulässigkeit eines – präventiven oder reaktiven – Cyber-Angriff s steht ohnehin nicht

in Frage. Dennoch können Unternehmen aus Angriff en – simuliert und ausgeführt durch ein eigens

beauft ragtes „red team“ – lernen. Dieser Artikel beschreibt, wie ein etabliertes militärisches Verfahren

hilft , mögliche Auswirkungen von Cyber-Angriff en besser zu verstehen und so die eigene Sicherheit zu

verbessern.

Kriegsspiele als Vorbild

Vom preußischen General und Militärstrategen Carl

von Clausewitz stammt das Bild vom „Nebel des Krie-

ges“. Er beschreibt damit die Unsicherheit, die Planen

und Handeln im Krieg ständig begleiten. Keine der bei-

den Gegner kann den Krieg nach Plan führen, sondern

muss immer die Reaktion der gegnerischen Seite mit

einbeziehen.

Strategie im Militär ist die Kunst eigene Ziele gegen-

über einem Gegner durchzusetzen, der denkt, agiert und

reagiert, einem Gegner, der nicht nur seine eigenen Ziele

erreichen will, sondern seine Gegner wiederum von der

Durchsetzung ihrer Ziele abhalten will. Ein Gegner, der

dazu, wenn erforderlich und angebracht, militärische

Gewalt anwendet.

Wetter, das Gelände, fehlende oder falsche Informa-

tionen, Probleme in der Versorgung, Verlagerung

und Wirkung der eingesetzten Truppen, all dies hatte

unkalkulierbare Auswirkungen auf den Erfolg eines

ursprünglichen Plans.

Clausewitz beschrieb diese Unwägbarkeiten als

Friktionen; das, was den wirklichen Krieg von dem auf

dem Papier unterscheidet. Mit dem Ziel diese Unwäg-

barkeiten zu beherrschen wurden in der Ausbildung

preußischer Offi ziere Planspiele eingesetzt. Historisch

bedeutend ist das „taktische Kriegsspiel“ des Barons von

Reißwitz. Der ursprüngliche Apparat, im Schloss Char-

lotteburg zu besichtigen, war ein Brettspiel bestehend aus

Terrainsteinen und Spielmarken mit dem, basierend auf


Brennpunkt

Knut Schönfelder

Der Autor ist Berater

mit langjähriger Erfah-

rung in der Erstellung

und Überprüfung von

Sicherheitsstrategien.

Er war zuvor 16 Jahre

Offi zier der Bundes-

wehr mit Führungs-

verwendungen als

Kampfschwimmer.

Security Compliance

einem detaillierten Regelwerk, Schlachtverläufe simu-

liert wurden. Zwei Parteien mussten, Zug um Zug, ihre

Operationspläne durchsetzen. Jeder Zug hatte in exakt

zwei Minuten zu erfolgen, angelehnt an die Dauer eines

Artilleriefeuers. Neben der Entscheidung zum Einsatz

der eigenen Truppen wurde der Verlauf des Gefechtes

durch Würfelspiel, stellvertretend für die unkalkulier-

baren Friktionen, bestimmt.

Vom Schlachtfeld in den Informationsraum – Cyber Security

Ein Vergleich der physischen Bedrohung auf den

Schlachtfeldern des 19. Jahrhunderts mit der digita-

len Bedrohung im Cyberspace des 21. Jahrhunderts

erscheint weit hergeholt. Im ersten Fall wurde der

Einsatz militärischer Gewalt durch einen politischen

Zweck legitimiert, im Zweiten erfolgt der Einsatz von

schadhaft em Code mit kriminellem Motiv. Gleich-

wohl kennzeichnet beide Situationen eine Konfronta-

tion von zwei Parteien mit gegensätzlichen Absichten

in der eine der beiden Parteien die Off ensive ergreift .

Der strategische Vorteil des AngreifersClausewitz sah die Verteidigung als die stärkere Form

der Kriegsführung. Im Cyberspace verhält es sich

genau umgekehrt: Der Angreifer hat einen strategi-

schen Vorteil. Dieser Vorteil fußt auf drei spezifi schen

Eigenschaft en:

Der Einsatz von red teams

In den westlichen Streitkräft en des 21. Jahrhunderts

ist die ursprüngliche Methodik des Kriegsspiels, heute

zumeist als „war gaming“ bezeichnet, zum integralen

Bestandteil des Planungsprozesses geworden. Mili-

tärische Stäbe nutzen dazu eigens aufgestellte Teams,

sogenannte „red teams“, mit dem Auft rag aus der Per-

spektive eines Gegners mögliche Reaktionen auf die

Umsetzung der eigenen Operationspläne darzustellen.

Unbekannte Schwachstellen und Auswirkungen aufdeckenAngesichts der dargestellten Herausforderung

„Cyber Security“, bietet sich der Einsatz eines red

teams auch für zivile Unternehmen an. Der Einsatz

folgt dabei grundsätzlich dem militärischen Ansatz:

Aus der Analyse des Wechselspiels zwischen Angrei-

fer und Angegriff enem werden mögliche Auswir-

kungen eines Cyber-Angriff s abgeleitet. Das red

team nimmt dazu die Perspektive eines potentiellen

Angreifers ein und konfrontiert ein Unternehmen

(in der Nomenklatur der Militärs: das blue team)

Schritt für Schritt mit dem Vorgehen bei einem

möglichen Angriff . Das angegriff ene Unternehmen

bewertet die Situation und reagiert entsprechend auf

den Angreifer. Es gilt der Grundsatz: Jede Reaktion

des Angegriff enen beeinfl usst die folgende Aktion

des Angreifers und umgekehrt. Durch diese fortge-

setzte Interaktion beider Seiten werden bisher unbe-

kannte oder unbedachte Schwachstellen und die

unerwünschten Auswirkungen eines erfolgreichen

Cyber-Angriff s deutlich.

Cyber-Risikomanagement

Im Risikomanagement gilt: Die Risikobeurteilung

ist Grundlage der Risikobehandlung. Unternehmen

können nur den Risiken begegnen, die sie identifi ziert

und deren Auswirkungen sie analysiert haben.

Grundlagen des Risikomanagements verbessernBei Bedrohungen die von kreativ handelnden

Akteuren ausgehen, greift die klassische Formel der

Risikobewertung (Risiko = Schadenshöhe x Ein-

trittswahrscheinlichkeit) zu kurz. Das Risiko eines

Feuers im Rechenzentrum ist durch Rückgriff auf

Erfahrungswerte zu bemessen. Wie aber berechnet

man Auswirkung und Erfolgswahrscheinlichkeit eines

„zero-day exploits“ (ein Angriff , der eine bisher unbe-

kannte Schwachstelle ausnutzt)?

Die Erkenntnisse aus dem Einsatz eines red teams,

so wie oben beschrieben, können als Grundlage für ein

angemessenes Management von Cyber-Risiken dienen,

also die Entscheidung welche Risiken akzeptiert, durch

entsprechende Maßnahmen minimiert, vermieden oder

transferiert werden sollen. Im Gegensatz zu einer stati-

schen Analyse von Cyber-Risiken ermöglicht der Einsatz

eines red teams eine greifb are Darstellung von Schwach-

stellen und möglichen Schäden eines Angriff s. Für alle

Beteiligten führt dies unmittelbar zu einem verbesserten

Bewusstsein für die Gefahren von Cyber-Angriff en.

Cyber-Angriffe lassen sich automatisieren. Ein Angreifer kann ohne großen Aufwand einen

Angriff auf beliebig viele Ziele ausführen und wird irgendwann eine Schwachstelle fi nden. Der Angegriffene muss hingegen dauerhaft alle ver-schiedenen Angriffe auf ihn abwehren um einen

Schaden zu vermeiden.

1

Cyber-Angriffe erfolgen aus der Deckung. Räumliche Distanz spielt bei Angriffen im Cyber-

space keine Rolle. Der Angreifer hat nur eine geringe Gefahr entdeckt zu werden und selbst

wenn ein Angriff bemerkt wird, bleibt die Attribu-tion, d.h. die eindeutige Zuordnung eines Angriffs zu einem Angreifer technisch und juristisch kaum

zu gewährleisten.

2

Cyber-Angriffe sind einfach verfügbar. Das Internet ermöglicht eine einfache und ano-

nyme Verbreitung erfolgreicher Angriffsmethoden und -mittel. Gleichzeitig steigt die Anzahl von

Schadprogrammen, die auch von weniger profes-sionellen Anwendern bedient werden können.

3

34

Brennpunkt


Den Einsatz auf den Bedarf des Unternehmens ausrichtenAngriff des red teams und Gegenmaßnahmen des blue

teams sind eine Simulation. Die Schäden, die im Laufe

der Konfrontation entstehen, bleiben fi ktive Schäden.

Eine Erkenntnis, die über Aussagen zu Effi zienz und

Implikationen der simulierten Angriff e hinaus geht,

entsteht erst im Rückschluss von den Auswirkungen

auf die Ursachen und eingesetzen Mittel.

Je nachdem, wie intensiv ein Unternehmen sich

bereits mit Cyber Security auseinandergesetzt hat,

variiert die Zielsetzung beim Einsatz eines red teams.

In Unternehmen, die bisher kein systematisches

Management von Cyber-Risiken betreiben, liegt das

Augenmerk zunächst auf der Identifi kation des eigenen

Schutzbedarfs und der Gefährdung. Unternehmen, die

bereits ein Information Security Management System

implementiert haben, überprüfen mit einem red team

regelmäßig die bestehenden Sicherheitsmaßnahmen

und identifi zieren weiteren Handlungsbedarf.

Durch die Verlagerung der Risikobewertung auf

einen unabhängigen Dritten wirken Unternehmen

zudem systematischen Fehlern in der Analyse und

Bewertung von Risiken entgegen. Menschen bewer-

ten z.B. das Risiko eines Schadensereignisses für sich

selber nachweisbar niedriger, als für andere Personen.

Dieses Phänomen wird als „optimism bias“ bezeichnet.

Die organisatorische Trennung von Risikobewertung

und Risikobehandlung wirkt diesem Eff ekt einer syste-

matischen Unterbewertung von Risiken entgegen.

Fehler beim Einsatz eines red teams vermeidenUm zu einem etablierten Werkzeug im Bereich Cyber

Security zu werden, sollte ein red team aber mehr

bieten als nur „Belehrung und angenehme Unterhal-

tung“ (so eine Kritik des preußischen Generalstab-

schefs an Vorläufern des taktischen Kriegsspiels). Der

große Vorteil eines red teams, die Auswirkungen von

Angriff en zu veranschaulichen, birgt dabei gleichzei-

tig eine große Gefahr.

Security Compliance

FAZIT

Führungsgremien in Unternehmen haben eine

unabweisbare Verantwortung für ein angemes-

senes Risikomanagement (z.B. gem. § 91 Abs. 2

AktG). Der klassische Ansatz, Risiken zu quan-

tifi zieren, versagt bei Cyber-Bedrohungen, die

maßgeblich von denkenden und handelnden

Angreifern ausgehen.

Abhilfe verspricht die Nutzung eines red

teams, ein etabliertes militärisches Verfahren.

Die Verlagerung der Risikoanalyse auf ein

solches red team, vor allem aber die interak-

tive und konfrontative Simulation möglicher

Angriff e, ermöglicht eine qualitative Analyse

von Bedrohungen und möglichen Schäden.

Der Fokus liegt nicht mehr auf der Einschät-

zung: Wie wahrscheinlich ist ein Angriff ,

sondern auf der Frage: Was passiert im Ver-

lauf eines Angriff s? Die Erkenntnisse bilden

eine verbesserte Entscheidungsgrundlage für

die angemessene Behandlung identifi zierter

Cyber-Risiken. Neben technischen, prozessua-

len und organisatorischen Gegenmaßnahmen

zur Beseitigung von Risiken kann das verblei-

bende Risiko über eine spezielle Cyber-Police

transferiert werden. So dient der simulierte

Angriff der besseren Verteidigung gegen reale

Bedrohungen.

“If you think technology can solve

your security problems, then you don t

understand the problems and you don t

understand the technology.”

Bruce Schneier

Cyber-Angriffe zielen auf die Informationstechnik eines Unternehmens. Der Angriff geht aber immer

von Menschen – mit zerstörerischer oder krimi-neller Absicht – aus. Beide Seiten, Angreifer und

Angegriffener, beeinfl ussen durch ihr Handeln den Schaden eines Angriffs. Angreifer nutzen bewusst soziale Beziehungen für Angriffe aus. Diese Taktik

ist als social engineering bekannt. Mitarbeiter eines angegriffenen Unternehmens sind somit

eine bevorzugte Schwachstelle.

1. Fokus auf Darstellung möglicher AngriffeDie bloße Simulation ausgewählter Angriffe auf

die der Angegriffene dann unmittelbar (und unvorbereitet) reagieren muss, ohne dass seine Reaktion wesentlich Einfl uss auf den weiteren

Verlauf der Simulation hätte, greift zu kurz. Derartige Simulationen bleiben eine (für den

Angegriffenen frustrierende) Demonstration des bereits oben dargestellten strategischen Vorteils

des Angreifers.

!

2. Fokus auf GegenmaßnahmenGenauso falsch ist eine Konzentration auf eine Besei-tigung der neu identifi zierten Schwachstellen. Diese Maßnahme ist richtig und angemessen, garantiert

aber keine nachhaltige Sicherheit. Letztlich wird jede geschlossene Schwachstelle den denkenden und handelnden Angreifer nur zur Suche einer neuen

Schwachstelle motivieren. Entsprechend bemerkte der bereits zitierte Security Experte Bruce Schneier:

Cyber Security ist ein Prozess, kein Produkt.

!

35comply. 3/2016 www.comply-online.dewww.tokiomarinekiln.com/de

Ertragsausfallversicherungen: “Damit Sie im Geschäft bleiben!”

TAKERS

CYBER ProTEC

RISK


Organisationspfl ichten im Rahmen eines Compliance Management SystemsWie Führungsorgane einer Gesellschaft durch Compliance Management Haftungsrisiken durch Organisationsverschulden vermeiden können.

Die Pfl icht zur ordnungsgemäßen Organisation eines Betriebes obliegt der Geschäft sleitung sowie deren

Führungskräft en. Hierzu gehört die sorgfältige Organisation der betrieblichen Abläufe. Fehlt die ord-

nungsgemäße Organisation kann der organisationsbedingte Fehler eines Arbeitnehmers der Geschäft s-

führung angelastet werden.1 Dies wird als Legalitätspfl icht bezeichnet. Die Geschäft sführung hat also

grundsätzlich organisatorische Maßnahmen so zu treff en, dass hierdurch Rechtmäßigkeit des Handelns

in und durch die Gesellschaft gegeben ist. Versäumt eine Geschäft sführung dies in nachlässiger Weise,

kann sich eine Haft ung wegen der Verletzung von Organisationspfl ichten oder wegen Nichterfüllung

rechtlicher Anforderungen in Verbindung mit organisatorischen Maßnahmen ergeben. Dies bezeichnet

man als Organisationsverschulden. Das Vorliegen eines Organisationsverschuldens kann zivil-, ord-

nungs- und sogar strafrechtliche Konsequenzen nach sich ziehen. Mit Compliance Management kann

die Geschäft sführung ihren Ordnungspfl ichten nachkommen und so Haft ungsrisiken vermeiden. Um

welche Ordnungspfl ichten es dabei konkret geht, zeigt der nachfolgende Beitrag.


Legalitätspfl icht erfasst alle erforder-lichen und zumutbaren Maßnahmen

Die Organisationspfl icht für die Führungsorgane

einer Gesellschaft ergibt sich für den Vorstand einer

AG aus § 76 Abs. 1 AktG, für den Geschäft sführer

einer GmbH aus §§ 6 Abs. 1, 35 Abs. 1 GmbHG. Die

konkrete Pfl icht zur ordnungsgemäßen Führung der

Geschäft e folgt aus § 43 Abs. 1 GmbHG i.V.m. § 93

Abs. 1 Satz 1 AktG. Bei Verstoß gegen die erforder-

lichen Organisations- und Aufsichtspfl ichten drohen

hohe Bußgelder nach dem Ordnungswidrigkeiten-

gesetz (bis zu 1 Mio. €) gegen die verantwortliche

Geschäft sleitung bzw. beauft ragten Mitarbeiter oder

das Unternehmen selbst. Nach einer aktuellen Ent-

scheidung des OVG Berlin-Brandenburg kommt

bei Organisationsmängeln auch der Erlass einer

ordnungsrechtlichen Untersagungsverfügung in

Betracht. Die Geschäft sführung muss alle erfor-

derlichen und zumutbaren Maßnahmen treff en, um

Zuwiderhandlungen durch Angestellte oder Beauf-

tragte zu verhindern.2 Dies gilt z.B. für den Fall,

dass verantwortliche Führungskräft e nicht mit dem

erforderlichen Nachdruck auf die Kontrolle der han-

delnden Mitarbeiter hingewiesen wurden. Unabhän-

gig von zivil-, ordnungs- oder strafrechtlichen Folgen

haben Vorstände und Geschäft sführer folgende

Organisationspfl ichten:

Geschäftsleitung hat Gesamtverantwortung für die Organisation

Nach § 91 Abs. 2 AktG hat der Vorstand geeignete

Maßnahmen zu treff en, insbesondere ein Überwa-

chungssystem einzurichten, um Entwicklungen, die

den Fortbestand der Gesellschaft gefährden, früh

erkennen zu können. Für Aktiengesellschaft en gilt

das Gesetz unmittelbar. Für andere Unternehmens-

formen gilt die Organisationsverpfl ichtung entweder

ebenfalls direkt nach dem KonTraG oder über die

Ausstrahlungswirkung des unbestimmten Rechtsbe-

griff s „Sorgfalt eines ordentlichen Kaufmanns“. Die

Gesamtverantwortung für die Organisation bezieht

sich nicht nur auf den Grad der Zielerreichung wie

beispielsweise den Geschäft serfolg, sondern auch auf

die Früherkennung und Minimierung von möglichen

rechtlichen Risiken für den Betrieb. Dies erfordert ein

systematisches Vorgehen, einen kontinuierlichen und

zielgerichteten Organisationsprozess. Es ist Aufgabe

der Geschäft sführung diesen Prozess zu initiieren, zu

steuern und zu kontrollieren.

Ressortverantwortung ersetzt nicht die GesamtverantwortungBesteht die Geschäft sführung aus mehreren

Geschäft sführern oder Vorständen, so haben sie ein

ressortverantwortliches Mitglied der Geschäft sfüh-

rung zu benennen.3 Dieses ist verantwortlich dafür,

eine geeignete Organisationsstruktur aufzubauen,

um die verschiedenen Teilaufgaben adäquat zu

steuern. Die Gesamtverantwortung der gesamten

Geschäft sführung bleibt hiervon unberührt.

Die zunehmenden Anforderungen der Stakeholder an

das Risikomanagement, Erwartungen der Kunden und

Gesellschaft an die betriebliche Transparenz und die

Komplexität des nationalen und internationalen Rechts

stellen die Geschäft sführungen vor große logistische

Herausforderungen. Soft waregestützte Compliance-

Content-Lösungen können hier eine wertvolle Hil-

festellung bieten. Die Diskussion um die Digitalisie-

rung der Produktion um Industrie 4.0 erfasst somit

auch die Compliance-Prozesse.

Risikomanagementsystem ist gesetzliche Pfl icht

Aus § 91 Abs. 2 AktG ergibt sich die gesetzliche Pfl icht

für den Aufb au eines Frühwarn- und Risikomanage-

mentsystems. Das setzt voraus, dass im Rahmen einer

Bestandsaufnahme alle Risikofelder und potenzielle

Compliance-Risiken identifi ziert werden. Compli-

ance-Risiken können von verwendeten, hergestellten

oder in Verkehr gebrachten Produkten, Anlagen oder

den im Unternehmen handelnden Personen ausgehen.

Bei der Bewertung der tatsächlichen Compliance-

Risiken sind die Risiken von Rechtsverstößen und

ihre Auswirkungen sowohl einzeln als auch in ihrem

Zusammenwirken zu analysieren. Grundsätzlich liegt

bei Verstoß gegen eine verwaltungsrechtliche Vor-

schrift eine Ordnungswidrigkeit vor. Wenn auch nicht

unmittelbar ein Bußgeld folgt, kann der Verstoß unab-

hängig davon zivil- oder strafrechtliche Folgen haben.

Die Geschäft sführung sollte über mögliche Risiken

und Konsequenzen aufgeklärt sein und bestehende

Risiken durch eingeleitete, steuernde Maßnahmen

reduzieren oder eliminieren. Ein kombiniertes, bes-

tenfalls soft waregestütztes, Risiko-/Maßnahmenma-

nagementsystem kann hier unterstützen, welches die

Umsetzung von risikobasierten Maßnahmen zuver-

lässig überwacht.

Leitungs- und Ausführungsverantwortung sorgfältig delegieren

Aus Garantenstellung zum Schutz fremder Güter

erwächst das allgemeine Gebot für Geschäft sführer

und andere Organe, die innerbetrieblichen Abläufe

so zu organisieren, dass Schädigungen Dritter ver-

mieden werden. Entsprechend der vorhandenen

Risiken benennt die Geschäftsleitung die zustän-

digen Mitarbeiter und stattet sie mit den erfor-

derlichen Kompetenzen und Ressourcen aus. Zu

diesem Zweck sind nicht nur die nachgeordneten

Mitarbeiter sorgfältig auszuwählen, sondern diese

auch in dem gebotenen Umfang zu instruieren und

die sorgfältige Ausführung der übertragenen Tätig-

keiten zu überwachen.4 Diese Mitarbeiter tragen als

Delegierte der Geschäft sführung die abgeleitete Ver-

antwortung, den gesamten Betrieb oder Teile davon

zu leiten.5

Dip. Ing. Martin Mantz

Der Autor ist

Geschäft sführer der

Martin Mantz GmbH,

Compliance Solutions.

Der Ingenieur und Jurist

ist seit 1994 Auditor und

Berater für verschiedene

Managementsysteme,

seit dem Jahr 2000 mit

dem Schwerpunkt im

Aufb au von Compliance-

Managementsystemen.

EssentialsBasics


Vier Kernelemente sichern die Übertagung von Unternehmerpfl ichtenEin Fehler in der Delegation führt regelmäßig zum

Organisationsverschulden. Das betriebliche Organi-

sationsverschulden wurde von der Rechtsprechung

als Unterfall der unerlaubten Handlung nach § 823

Abs. 1 BGB entwickelt. Hiernach haft et die Unter-

nehmensleitung, wenn sie versäumt hat, allgemeine

organisatorische Anordnungen zu treff en. Die „Über-

tragung von Unternehmerpfl ichten“ soll ein Organi-

sationsverschulden vermeiden. Es beinhaltet in der

Regel vier Kernelemente:

Diese Unternehmerpfl ichten stellen Unternehmen

mit schnellem Wachstum und mit den damit ver-

bundenen Neueinstellungen, Fluktuation der Füh-

rungskräft e und Mitarbeiter, organisatorischen

Umstrukturierungen oder komplizierten Organisa-

tionsformen (z.B. Matrixorganisation) vor besondere

Herausforderungen. In der Praxis führen diese He-

rausforderungen regelmäßig zu Delegationsdefi ziten.

Im Zeitdruck werden die Delegationsschreiben bzw.

die „Übertragung von Unternehmerpfl ichten“ ver-

nachlässigt und entsprechen damit nicht dem aktuel-

len Stand. Auch hier helfen den neuen Anforderungen

entsprechende Compliance-Management-Systeme.

Sie zeigen eine mangelhaft e Umsetzung von Delega-

tionspfl ichten an. Sie machen transparent, in welcher

Funktion oder bei welcher rechtlichen Pfl icht Umset-

zungsdefi zite vorhanden sind.

Innerbetriebliche Organisation transparent machen

Der schnelle Wandel und die große Flexibilität von

Organisationen macht ein hohes Maß an Transparenz

erforderlich. Als Konsequenz aus aktuellen Recht-

sprechungen sind Unternehmen gut beraten, ihre

Organisation auf Transparenz und die sorgfältige

Dokumentation und auf ihre tatsächliche Anwen-

dung hin zu prüfen OLG Rostock · Urteil vom 8. Juli

2011 · Az. 5 U 174/10

Der Aufbau einer transparenten Organisation erfordert:

! Die Formulierung von klaren und eindeutigen Arbeitslabläufen und Zuständigkeiten.

! Das schnelle und sichere Erkennen von Defi ziten in der Compliance-Organisation bzw. Aufdecken von Rechtsverstößen.

! Die aktive Beteiligung der Führungskräfte und Mitarbeiter an diesen Prozessen.

! Das Stärken des Verantwortungs-bewusstseins aller Führungskräfte und Mitarbeiter („robuste“ Compliance-Kultur).

Die Transparenz in der Organisationsstruktur steigert die Motivation der Mitarbeiter. Denn interne Entscheidungsprozesse werden so transparenter und nachvollziehbar. Der Einsatz geeigneter Compliance-Management-Systeme bzw. deren Digitalisierung leistet dabei wert-volle Unterstützung.

Fortlaufendes Überwachungssystem oder Internes Überwachungssystem (IKS) sicherstellen

Aus § 91 Abs. 2 AktG folgt die Pfl icht ein präventi-

ves Frühwarn- und ein Überwachungssystem ein-

zurichten. Zur Überwachung gehört ein laufender

Überblick über die Einhaltung der einschlägigen

Rechtsvorschrift en. Der aktuelle Rechtsstatus ist

laufend von der Geschäft sführung zu beobachten

oder von entsprechenden Mitarbeitern aus der Com-

pliance-Abteilung, Internen Revision, Betriebsbe-

auft ragten, Fachkräft en für Arbeitssicherheit etc.

auszuwerten. Die genannten Kontrollfunktionen im

Unternehmen unterstützen die Geschäft sführungen

bei der Erfüllung ihrer gesetzlichen Kontroll- und

Überwachungspfl icht.

Essentials Basics

Auswahlverantwortung: Ein Unternehmen bzw. deren Führungskräfte dürfen die Verantwortung nur an geeignete

Mitarbeiter delegieren;

Ein- und Anweisungsverantwortung: Die Führungskräfte müssen den

Mitarbeitern richtige, aktuelle und vollständige Arbeitsanweisungen zur Verfügung stellen;

Überwachungsverantwortung: Die Geschäftsführung und Führungskräfte

müssen gemäß Risikobewertung angemessene Kontrollen durchführen;

Ausreichende Ressourcen: Den delegierten Mitarbeitern müssen zur

Umsetzung ihrer Aufgaben die erforderlichen zeitlichen, fi nanziellen oder sonstigen Ressourcen

zur Verfügung gestellt werden.

1

2

3

4


FAZIT

Die Anforderungen an die organisatorische

und persönliche Verantwortung an die Vor-

stände und Geschäft sführung hat die Recht-

sprechung weiterentwickelt und verschärft .

Die Führung einer Organisation ist für die

Einhaltung aller unmittelbar und mittelbar

geltenden rechtlichen Pfl ichten (mit-)ver-

antwortlich. Im Zuge der Digitalisierung

wird die zukunft sorientierte Organisations-

entwicklung auf professionelle, soft ware-

gestützte Compliance-Expertensysteme

zugreifen müssen. Nur so lässt sich der

Umfang der rechtlichen Pfl ichten zuverläs-

sig und transparent organisieren.

EssentialsBasics

1 LG München I · Urteil vom 10.12.2013 ·

Az. 5HK O 1387/10, 5HK O 1387/10 – Neubürger-Urteil

2 Siehe OVG Berlin, Urteil v. 17.3.2016; AZ 7 B 24.15.

3 Vgl. z.B. § 52b BImSchG.

4 Vgl. Wagner in Münchener Kommentar, RN 370 zu § 823

BGB m. N.

5 Vgl. § 9 OWiG.

Häufi gste Gründe für die Nichteinhaltung einschlä-

giger rechtlicher Pfl ichten sind deren vollständige

Unkenntnis oder komplizierte bzw. unverständliche

Vermittlung. Die verantwortlichen Mitarbeiter haben

daher zunehmend ein großes Bedürfnis nach einfachen

Informationen über ihre aktuelle Verantwortlichkeit

und den daraus resultierenden Handlungspfl ichten.

Auch diese Aufgaben übernehmen zunehmend soft -

waregestützte Compliance-Expertensysteme.


www.betrifft-unternehmen.de/boardTelefonische Bestellung: 0221/9 76 68-291 · E-Mail: [email protected]: 0221/9 76 68-271

Zeitschrift für Aufsichtsräte in Deutschland

dARArb

eitskreis deutscher Aufsichts

rat

e.V

.

ISSN 2192-211XErscheinungsweise: 2-monatlich,jeweils zur Mitte eines geraden Monats, 36 Seiten, Format A4, geheftet,Jahresabonnement 248,80 €


Jobangebote im Bereich Compliance zielgerichtet prüfenDer Arbeitsmarkt für Compliance-Mitarbeiter ist so attraktiv wie nie. Doch wie fi ndet man die wirklich interessanten Positionen und kann schon im Auswahlprozess die Qualität und Seriosität der Stellenangebote richtig bewerten?

Sie planen sich berufl ich zu verändern. Bei der Suche nach einer geeigneten Position im Bereich von

Compliance stoßen Sie im derzeitigen Marktumfeld schnell auf eine Fülle von – auf den ersten Blick

– attraktiven Angeboten. Dennoch ist jedes Stellenangebot sorgfältig zu prüfen, um die möglichst pas-

sende Stelle zu fi nden. Außerdem entpuppt sich nicht selten ein Stellenangebot als Mogelpackung. Der

vorliegende Beitrag zeigt auf, welche Hinweise und Andeutungen Bewerber in der Ausschreibung prüfen

sollten. Dadurch können unliebsame Überraschungen vermieden sowie knappe Ressourcen für Bewer-

bungen auf ungeeignete Stellen geschont werden.

© a

nton

iokh

r – is

tock

phot

o.co

m


Kriterium Bewertung

Welche Position ist ausgeschrieben?

Üblicherweise werden die BegriffeCompliance-Manager (Einstiegsposition mit 1-2-jähriger Erfahrung)(Senior) Compliance-Offi cer (mehrjährige Erfahrung) oderChief/Group Compliance Offi cer (Leitungsfunktion mit rd. 10-jähriger Erfahrung

verwendet.

Größe des Unter-nehmens und (vermutete) Größe der Compliance-Abteilung

Unternehmen mit weniger als 2.000 bis 3.000 Mitarbeitern verfügen meistens nur über einen Compliance-Beauftragten, welcher in der Regel zugleich auch der Chief/Group Compliance Offi cer ist. Diese Stellenangebote richten sich fast immer an Generalisten.Hellhörig sollte man werden, wenn Unternehmen mit 5.000 bis 10.000 oder mehr Mitarbeitern einen „one-man show“ Compliance Offi cer suchen. Eine angemessenes CMS lässt sich so nicht aufbauen bzw. aufrechterhalten. Derartige Positionen werden schnell zum Schleudersitz wenn es brenzlig wird.

Außendarstellung des Unterneh-mens zum Thema Compliance

Je offensiver das Unternehmen mit Informationen zum Thema Compliance umgeht, umso besser ist es. Finden Sie auch in sonstigen Quellen keine Ansprechpartner o.Ä. deutet dies eher auf eine Alibi-Compliance-Stelle („Feigenblatt“) im Unternehmen hin.Bei einem Compliance-Fall wird dann nicht selten der Compliance-Verantwortliche für den Verstoß verantwortlich gemacht.

Risikosituation des Unternehmens beurteilen

Verfügt das Unternehmen z.B. über einen hohen Anteil an Staatsgeschäft oder Geschäft mit Ländern mit einem hohen Korruptionsindex (CPI) sollte die Compliance-Organisation eine angemessene Größe aufweisen bzw. als solche innerhalb, aber auch außerhalb des Unternehmens sichtbarer sein.

Tipp:Bei dieser Gelegenheit gleich Gedanken machen, welcher Art die Compliance-Verstöße in dem konkreten Unternehmen sein könnten (in der Regel immer Kor-ruption, Kartell u.a.). Diese Frage wird übrigens mit sehr hoher Wahrscheinlichkeit auch im Vorstellungsgespräch gestellt werden.

Am Anfang steht die Selbsteinschätzung…

Ohne eine Standortbestimmung ist keine zielgerich-

tete Bewerbung möglich. Dies erfordert die eigene

derzeitige Qualifi kation und berufl iche Erfahrung

mit der nötigen Selbstkritik gut einzuschätzen. Erst

dann kann beurteilt werden, welche nächsten Kar-

riereschritte sinnvoll und realistisch möglich sind.

Hierzu zählt, wie viele Jahre bereits operative Erfah-

rung im Compliance-Bereich gesammelt wurde, ob

man bisher eher eine Funktion als Spezialist oder

Generalist innegehabt hat, ob ein berufl icher Wechsel

auf gleicher Ebene (aber in ein anderes Unternehmen

oder in eine andere Branche) oder eine karrieremä-

ßige Weiterentwicklung (Team-/Abteilungsleitung

bzw. Chief/Group Compliance Offi cer) angestrebt

wird. Erfahrungsgemäß sind Sprünge vom Compli-

ance-Manager oder Spezialisten in einer größeren

Einheit zum Chief/Group Compliance Offi cer mit

Leitungsfunktion eher die Ausnahme.

Nicht suchen sondern fi nden!

Im Zeitalter der

Online-Stellenmarkts

ist es heute nur noch

eine Frage von Minuten

eine Fülle von Jobangebo-

ten zu fi nden (z.B. online-

Job-Portale wie Monster oder

Stepstone, Compliance-Arbeits-

markt Newsletter, Jobportale bei

Verbänden, Printmedien). Schwieri-

ger ist es, die nun gefundenen Angebote

zu bewerten.

Kriterien für die Bewertung des StellenangebotsBei einer Analyse der Stellenanzeige bzw. der Home-

page des Unternehmens und ggf. weiterer Quellen

(z.B. Karriereportale, Geschäft sbericht) sind folgende

Kriterien zu prüfen:

Torsten Krumbach

Der Autor ist

Compliance Offi cer

bei der Bosch Sicher-

heitssysteme GmbH.

EssentialsSoftskills


Gibt es frühere oder aktuelle Entwicklungen zum Thema Com-pliance in dem Unternehmen?

Untersuchungen, Korruptionsvorwürfe oder Kartellverstöße aus der jüngeren Vergangenheit erfordern häufig den raschen Auf- und Ausbau des Compliance- Bereichs und erleichtern die Stellensuche.Allerdings werden diese Personalkapazitäten mittelfristig auch wieder zurückgefah-ren und gehen mit einem Stellenabbau bzw. einer Verlagerung von Stellen (z.B. in die Revision oder Rechtsabteilung) einher. Bei der Annahme einer solchen Position daher rechtzeitig an den nächsten Karriereschritt denken.

Name des Chief/Group Compliance Officers (z.B. xing/LinkedIn etc.)?

Der Name des Chief/Group Compliance Officers sollte üblicherweise im Netz zu finden sein. Ist er präsent, z.B. bei Veranstaltungen, Kongressen kann man sich ein Bild von ihm und seinen Schwerpunktthemen machen.Evtl. gibt es sogar Verbindungen zu Mitarbeitern der Compliance-Organisation über Dritte. Dann bietet sich eine Bewerbung über interne Kanäle an (teilweise bekommen Mitarbeitern hierfür Prämien wenn über eine Empfehlung die Stelle besetzt wird).

Hierarchische Einbindung der Position?

Ist in der Stellenanzeige vermerkt, an wen die zu besetzende Position berichtet? Bei einer leitenden Funktion sollte dies in der Regel der Vorstand/GF sein. Berichts-wege an den Leiter Recht, Revision o.Ä. deuten auf eine organisatorische Einbindung von Compliance in diese Bereiche ein. Dies führt in der Praxis nicht selten zu Kompe-tenz- und Abgrenzungsschwierigkeiten und beeinträchtigt die anzustrebende Unab-hängigkeit und Neutralität der Compliance-Funktion.

Aufgaben-/Tätig-keitsbeschreibung

Stimmt die zu besetzende Funktion (z.B. Leiter Compliance) mit der üblicherweise zu erwartenden Tätigkeitsbeschreibung überein (hier: Leitung des Compliance- Teams, (strategische) Weiterentwicklung des CMS, regelmäßiger Bericht an Vorstand/GF bzw. Aufsichtsgremium (Beirat/Aufsichtsrat)?Werden hingegen eher speziellere Tätigkeiten erwähnt (z.B. Mitarbeit in einem Team für Schulungen, Untersuchungen o.Ä.) wäre dies eine Position für einen Compliance-Manager/Officer.Daher auf Diskrepanzen zwischen Titel und Tätigkeitsbeschreibung achten!

Allgemeine aktu-elle wirtschaftli-che Situation des Unternehmens

Gibt es Anzeichen oder Informationen über eine Unruhe im Unternehmen, z.B. schlechte Unternehmenszahlen, ein häufigerer Wechsel in der Geschäftsführung (welcher häufig auch die Leitung des Compliancebereichs erfasst)?In einem solchen Umfeld angebotene Stellen können sich schnell verändern.

Erwartete Qualifikation/Profil

Die gesuchte Fachrichtung steht in einem direkten Zusammenhang damit, ob ein Generalist oder ein Spezialist gesucht wird.Bei einer juristischen oder wirtschaftlichen Qualifikation ist eher ein Generalist gesucht (der sich dann aber durchaus spezialisieren kann bzw. spezialisiert haben sollte). Kommunikations-, IT- oder sozialwissenschaftliche Ausbildungen deuten eher auf eine Funktion als Spezialist hin.

Zusatzquali- fikationen

Werden in der Stellenanzeige Zusatzqualifikationen, wie bestimmte Weiterbildungen oder Sprach-/DV-Kenntnisse verlangt, sind diese zwar wichtig aber häufig nicht essenziell. Sie können aber den Ausschlag für oder gegen eine Bewerbung geben, wenn ansonsten die erwartete Qualifikation des Bewerbers gleich gut ist(siehe auch: Schärfung des Profils).

Dotierung der Stelle

Zwar werden nach wie vor in der Regel keine Gehaltsrahmen in den Stellenanzeigen genannt. Zusätzliche genannte und angebotene betriebliche Leistungen (z.B. Firmenwagen, Altersversorgung, variable Vergütung etc.) deuten aber auf eine höhere Position bis hin zur Leitung des Compliancebereichs hin.

Essentials Softskills


Schärfung des Profi ls als Compliance Offi cer

Unabhängig von der Bewerbung auf ein konkretes

Stellenangebot, lässt sich das persönliche Profi l mit

relativ einfachen Mitteln schärfen um die Erfolgs-

aussichten einer Bewerbung zu erhöhen. Diese Mittel

wirken natürlich nicht kurzfristig sondern sind eher

in dem Kontext zu sehen, sich dauerhaft eine „Nasen-

länge“ Vorsprung vor der Konkurrenz zu sichern.


FAZIT

Auch eine aktuell hohe Anzahl von Stellenan-

geboten im Bereich Compliance sollte nicht

den Blick dafür trüben, dass es zweifelhaft e

Stellenausschreibungen gibt.

Dies kann bedeuten, dass für ein großes

Unternehmen eine unangemessen kleine

bzw. unzureichend ausgestattete Compliance-

Organisation gesucht wird. Oder das für ein

Unternehmen mit erkennbaren Complian-

ce-Risiken lediglich eine Art Feigenblatt-/

Alibi-Organisation geschaff en werden soll,

welche im Unternehmen keine Wirkung ent-

falten kann (und soll). Auch auff allend nied-

rige (oder zu umfassende) Anforderungen

an die zu besetzende Stelle und fragwürde

Berichtswege bzw. organisatorische Einbet-

tungen in die Unternehmensorganisation

sollten einen aufh orchen lassen. Mit dem

nötigen Fingerspitzengefühl können qualifi -

zierte Compliance-Kräft e jedoch diese Ange-

bote identifi zieren und kritisch hinterfragen.

Spätestens im Vorstellungsgespräch sollten

die zuvor angesprochenen Punkte umfassend

geklärt werden.

Checkliste Profi lschärfeCompliance Offi cer

Die Formulierung von klaren und eindeutigen Arbeitslabläufen und Zuständigkeiten.

Kontakte zu anderen Compliance-Kolle-gen (aller Hierarchiestufen) pfl egen. Ziel sollte sein, ein eigenes tragfähiges Netz-werk aufzubauen und dieses kontinuier-lich zu pfl egen. Gelegentlich können über dieses Netzwerk auch offene Stellen vermittelt werden, dies sollte jedoch nicht der Hauptgrund sein.

Durch die Mitgliedschaft und noch wichti-ger: Mitarbeit(!) in Verbänden/Netzwerken lassen sich vielfältige Kontakte knüpfen und Informationen über aktuelle Trends und Entwicklungen austauschen. Dies wird häufi g ergänzt durch angebotene Compli-ance-Stammtische/Roundtables, welche ebenfalls genutzt werden können.

Größere Rechtsanwaltskanzleien bieten häufi g – teilweise regionale – regel-mäßige und in der Regel kostenlose (Mandanten-)Veranstaltungen an (z.B. „Compliance Day“, „Compliance zum Frühstück“ etc.). Diese können auf den Veranstaltungsseiten der Kanzleien gefunden werden und bieten einen perfekten Rahmen zum Networking.

Natürlich sollten auch Weiterbildungsange-bote geprüft und in Betracht gezogen werden. Ein kritischer Vergleich der ver-schiedenen Anbieter hinsichtlich des zeitli-chen Umfangs bzw. der Dauer (ein-/mehrtägig oder berufsbegleitend), der Reputation und Historie des Anbieters (seit wann wird diese Weiterbildung angebo-ten) und der Referenten (bekannte Persön-lichkeiten aus namhaften Unternehmen) und natürlich der Kosten hilft. Im Zweifel die Meinung von ehemaligen Absolventen/Alumni über deren Erfahrung mit der geplanten Weiterbildung einholen.

Immer hilfreich ist es, sich neben der Grundqualifi kation im Bereich Compli-ance einen fachlichen Schwerpunkt zu suchen, für den ein besonderes Interesse besteht. Bei einer ausreichenden Qualifi -kation kann dieser fachliche Schwerpunkt auch dazu genutzt werden, Vorträge zu diesem Thema zu halten oder Veröffent-lichungen zu platzieren. Dies trägt wie-derum zur Sichtbarkeit in der Compliance-Community bei.

Grundsätzlich gilt, je höher die ange-strebte Position hierarchisch angesiedelt ist, desto mehr treten spezielle Fähigkei-ten hinter einer grundsätzlichen Fähigkeit zur Organisation und Weiterentwicklung des CMS zurück. Durchsetzungs-, Team- und Führungskompetenz gewinnen dann ebenfalls sehr stark an Bedeutung.


Compliance-Kommunikation in vier SchrittenNach dem Must-Transfer-Value Prinzip

Kommunikation ist national wie international ein fester Bestandteil maßgebender Compliance-Stan-

dards. Vor allem die Anforderungen von ISO 19600 umfassen sowohl die Bestimmung des Kommuni-

kationsbedarfs in Bezug auf das CMS durch das Unternehmen,1 als auch den Einsatz von „geeigneten

Methoden, um sicherzustellen, dass die Compliance-Botschaft von allen Beschäft igten jederzeit gehört

und verstanden wird.“2 Auch der Prüfungsstandard IDW PS 980 macht die Kommunikation zum festen

Bestandteil eines CMS.3 Die Standards geben gegenüber den Grundsätzen von Flexibilität und Ver-

hältnismäßigkeit keine konkreten Maßnahmen vor; sie machen aber eines unmissverständlich klar: Ein

wirksames CMS endet nicht mit der Aufstellung von Regeln und Prozessen, sondern vermittelt diese

auch eff ektiv, um ihre Befolgung tatsächlich zu gewährleisten. Compliance-Kommunikation ist so vor

allem nach Innen gerichtet, also mitarbeiterorientiert. Doch wie kann das in der Praxis funktionieren?


Grundlagen der Compliance-Kommunikation

Compliance in Organisationen hat besondere Cha-

rakteristika. Sie zu verstehen ist für die Kommunika-

tionsarbeit unerlässlich. Zwei wesentliche Merkmale

umschreiben die Ausgangslage wie folgt:

Die Compliance-Position: Ein CMS steht

zwischen den ökonomischen Strukturen des

Unternehmens und der Mitarbeiterschaft , die in

ihnen arbeitet. Das System ist Mittler zwischen

rechtlich-betriebswirtschaft lichen Erfordernis-

sen und den menschlichen Entscheidungen.

Die Compliance-Herausforderung: Zwischen

Regelausgabe und Regeleinhaltung steht der

Mensch mit seinen Werten, Überzeugungen und

Beweggründen als letztlich entscheidender Fak-

tor. Regeltreue kann somit nicht ausschließlich

technisch-formal sichergestellt werden, sondern

immer nur durch menschliche Kooperation.

Aus der besonderen Position und Herausforderung

der Compliance-Funktion ergibt sich ein Leitprinzip

für die Kommunikationsarbeit eines CMS.

Das Must-Transfer-Value Prinzip Die drei Elemente des Prinzips

lassen sich wie folgt beschreiben:

MUST

Compliance-Kommunikation ist notwendig.

Standards und die besonderen Charakteristika der

Compliance machen Kommunikationsarbeit unum-

gänglich. Die mitarbeiterorientierte Compliance-

Kommunikation ist Teil eines wirksamen CMS.

TRANSFER

Compliance-Kommunikation braucht

Transferleistungen.

Die relevanten juristisch-betriebswirtschaft lichen

Erfordernisse des Unternehmens müssen in die

menschliche Werte- und Verständniswelt

übertragen und vermittelt werden.

VALUE Compliance-Kommunikation braucht einen Wert.

Um von der Mitarbeiterschaft verstanden und

angenommen zu werden, muss Compliance Sinn

und Wert im menschlichen Kontext einnehmen.

Alexander Freiesleben

Der Autor ist auf

die Entwicklung von

Kommunikation und

Kultur von Compliance

spezialisiert. Er studierte

Betriebswirtschaft in

Göttingen und Friedens-

und Konfl iktforschung

in Bradford, UK, und

war im internationalen

Business Development

mit den Schwerpunkten

Kommunikation und

Marketing tätig.


Transferleistung*durch CMS

Rücktransfer*durch MITARBEITER

* VERSTÄNDNIS

* DIALOG

* ZUSTÄNDIGKEIT

* WERT

SENDER

1

RÜCKBINDUNG

4

BOTSCHAFT

2

EMPFÄNGER

3

PRINZIP: MUST – TRANSFER – VALUE


Essentials Softskills

Kommunikation in vier Schritten

Auf der Basis des Must-Transfer-Value Prinzips geben

vier Grundschritte Anleitung für die mitarbeiterorien-

tierte Kommunikation, die eine Compliance-bewusste

wie überzeugte Mitarbeiterschaft zum Ziel hat. Das

Modell stellt wichtige Teilziele und praktikable Wege

dar, wie Kommunikation effektiv in ein CMS integ-

riert und durchgeführt werden kann. In den ersten

drei Schritten setzt das CMS mit Transferleistungen

an den Kommunikationselementen Sender, Botschaft

und Empfänger an, um seine Inhalte vermittelbar zu

machen.4 Mit dem vierten Schritt, der Rückbindung,

wird die Zuständigkeit in der Mitarbeiterschaft akti-

viert. Es kommt zum Rücktransfer der kommunizier-

ten Compliance-Inhalte durch die Mitarbeiter selbst.

Die Grundschritte können sowohl sukzessiv zum

stimmigen Gesamtaufbau der Compliance-Kommuni-

kation durchgangen als auch einzeln angewandt wer-

den, um punktuell anzusetzen.

1. SENDER

Ziel: Schaffung einer wertegeleiteten Compliance.

Transferleistung: Das CMS als der Sender im

Kommunikationsprozess gibt sich und seiner

Mission einen Gemein-Wert, der sowohl für

den betriebswirtschaftlichen wie auch für den

menschlichen Teil des Unternehmens sinnvoll und

achtenswert ist.

Weg: Selbstklärung und Selbstbestimmung. Die

Compliance-Abteilung widmet sich intern der Ant-

wort auf die Frage, was die Unternehmens-Com-

pliance von sich auf welche Art wissen lassen will.

Hierfür wird der sonst vordergründige recht-

lich-wirtschaftliche Hintergrund von Compliance

zunächst verlassen und sich explizit dem Sinn

und Wert von Compliance aus dem menschlichen

Blickwinkel zugewandt. An dieser Stelle ist der

persönliche Zugang der Wirksamste: Denken Com-

pliance-Verantwortliche ihre Compliance-Mission

persönlich und im eigenen Wertebild ist das für die

Wertfindung als auch für die Kommunikationsakti-

vität sehr vorteilhaft. Produkt dieses Prozesses ist ein

menschlich sinntragender und achtbarer Wert, der

ebenso mit dem betriebswirtschaftlichen Auftrag

von Compliance in Einklang steht. Ein CMS und

seine Verantwortlichen werden so zum engagier-

ten Vertreter eines menschlich wichtigen Wertes.

Beispiel: Rechtschaffenheit. Eine Compliance-

Abteilung müht sich um Rechtschaffenheit, so wie

es die meisten Mitarbeiter selbst auch tun und wie es

gleichermaßen die betriebswirtschaftliche Seite des

Unternehmens als notwendig erachtet.

2. BOTSCHAFT

Ziel: Überzeugende Compliance-Inhalte.

Transferleistung: Verständlichkeit. Das CMS

produziert verständliche und annehmbare

Botschaften.

Weg: Jegliche Kommunikationsaktivitäten der

Compliance – Verhaltensrichtlinien wie Informa-

tionsschreiben, Prozessanweisungen, Ansprachen,

aber auch unterlassene und verständnishemmende

Kommunikation – sind Botschaften für die Mit-

arbeiterschaft. Die Botschaft wird auch als Code

bezeichnet: Der Sender codiert einen Inhalt, der

von dem Empfänger gemäß seines Verständnis-

ses dekodiert wird. Missverstehen entsteht an

eben dieser Stelle und in der Erarbeitung über-

zeugend-verständlicher Compliance-Botschaften

liegt eine weitere Transferleistung des CMS. Ver-

ständlichkeit kann auf mehreren Ebenen erzeugt

werden:

Beweggrund: Eine wertgeleitete Compliance stellt

gegenüber der Mitarbeiterschaft immer wieder

den Bezug zu den guten Beweggründen ihrer

Maßnahmen her und schafft so ein gemeinsames

Sinnverständnis. Die bloße Listung von Appellen

in juristischer Terminologie kann nur schwer das

menschliche Werteempfinden erreichen. Kann der

Sinn und Wert der Compliance-Arbeit nicht auch

gesamtpersönlich wahrgenommen werden, blei-

ben häufig nur ihre Forderungen, nicht aber ihr

Wert im Bewusstsein.

Sprache: Ausdrucksweise und Klarheit. Compli-

ance-Verantwortliche müssen einen überzeugen-

den Sprachgebrauch entwickeln: Wortlaute und

ihre Bedeutung sollten das allgemeine Verständ-

nis treffen und dem mitarbeitenden Menschen im

wahrsten Wortsinn entsprechen. Es müssen Ein-

drücke entstehen, was beispielsweise mit „ethisch

einwandfrei“, „Regelkonformität“ oder „einschlä-

gigen Rechtsvorschriften“ wirklich gemeint ist und

wie Compliance-Prozesse persönlich unterstützt

werden können. Das schafft nicht nur Verständ-

nis, sondern auch ein Sicherheitsgefühl in der

Mitarbeiterschaft gegenüber der sonst auch kon-

trollierenden und sanktionierenden Compliance.

Anhaltspunkte beim Formulieren eingängiger

Botschaften geben das persönliche Gefallen und

die Wiedererzählbarkeit der Botschaft: Klingt die

Botschaft selbst auch persönlich für den Kommu-

nizierenden gut und kann ihr Inhalt problemlos

vom Lehrling an den CEO wiedergegeben werden,

ist der richtige Weg eingeschlagen. Amtsdeutsch



1 Vgl. Ziff . 7.4.1 ISO 19600.

2 Vgl. Ziff . 7.4.2 ISO 19600.

3 Vgl. hierzu Ziff . 4.19 IDW EPS 980.

4 Nach dem Sender-Empfänger-Modell von Shannon und

Weaver (1949). Th e mathematical theory of communication.

University of Illinoi Press, Urbana Champaign.

5 Löffl er, H. (2016). Germanistische Soziolinguistik.

Erich Schmidt Verlag, S. 115.

FAZIT

Compliance-Kommunikation ist Teil führen-

der Standards und gehört zu den Grundvo-

raussetzungen wirksamer Compliance-Arbeit.

Die Konsequenz: Ein Compliance-Manage-

ment-System benötigt auch eine systematische

Kommunikation. Es gilt seinen Wert gegenüber

der Mitarbeiterschaft begreifb ar zu machen und

seine Inhalte verständlich zu vermitteln. In der

Praxis kann Kommunikation oft individueller

ausgestaltet werden als viele technische Lösun-

gen; umso wichtiger sind ein grundlegendes

Verständnis und konkrete Punkte, an denen die

eigene Kommunikationsarbeit ansetzen kann.

und gängige Wortpaarungen treten hier schnell

vor treffl ichen Formulierungen und prägnanten Sät-

zen zurück. Auch grafi sche Aufb ereitungen und Bil-

der machen Botschaft en lebendig.

Kollegialität: Compliance-Botschaft en brauchen

„Persönlichkeit“. Die besondere Pfl icht und Ver-

antwortung zu Gesetz und Regel schließt einen

jovial-kollegialen Umgang in Wort und Schrift

nicht aus. Besonders für die Compliance-Abtei-

lung gilt es zu zeigen, dass man kein Kontrollraum

mit Aushang, sondern eine verständliche mensch-

lich-bemannte Abteilung ist. Man ist Kollege und

Mitglied derselben Unternehmensgemeinschaft

und kann sich ebenso zu verstehen geben, um auch

so wahrgenommen zu werden.

3. Empfänger

Ziel: Kontakt zu Mitarbeitern und ihrer

Wahrnehmung.

Transferleistung: Persönlicher Dialog. Austau-

schende Begegnungen zwischen Compliance-

Verantwortlichen und Mitarbeiterschaft .

Weg: Know your business, know your people. Wie

Compliance das Unternehmensgeschäft , seine Pro-

zesse und Risiken kennen muss, so gilt dasselbe

gegenüber den Mitarbeitern und ihrer Wahrneh-

mung. Durch persönlichen Kontakt können sowohl

wirkliche Einblicke gewonnen als auch richtige

Eindrücke vermittelt werden. In weniger offi ziösen

Gesprächen kann in verschiedenen Unternehmens-

bereichen erfahren werden, wie über Compliance,

ihre Bedeutung und ihre Aktivitäten gedacht wird.

Das drückt sich oft durch Soziolekte, berufsbe-

dingten Gruppensprache, aus.5 Hier sollte es wenig

überraschen, dass von Kosenamen, über Anekdoten

oder Wortspiele bis hin zu Zynismen vieles zur Spra-

che kommen kann. Wichtig ist, dass Compliance

Chancen bekommt, eben das auch wahrzunehmen.

Dazu kann die Compliance-Abteilung in der Mit-

arbeiterschaft Gesicht zeigen. Vor allem aus einem

wertegeleiteten Compliance-Bewusstsein heraus

kann Compliance-Personal als kollegialer Vertreter

eines geteilten Wertes off enere Gesprächssituationen

initiieren. Persönliche Mitarbeitergespräche können

mit einzelnen Mitgliedern aller Abteilungen geführt

werden. Eine systematische Interviewsituation ist

weniger förderlich. Eine off ene Notiz an die Mitar-

beiter nach der Art „Wundern Sie sich nicht, wenn

wir mal eine Tasse Kaff ee trinken wollen“, belässt

Raum für kollegialere Zusammenkünft e.

4. Rückbindung

Ziel: Mitarbeiter zuständig machen.

Rücktransfer: Aktivierung der Mitarbeiter als

Vermittler des CMS.

Weg: Mitarbeiter sind im Tagesgeschäft vor allem

mit den technisch-formellen Aspekten eines CMS,

wie Berichtswesen oder Ordnungsprozessen, in

Verbindung. Sie erleben sich eher als passiv Emp-

fangende und Ausführende. Dem entgegen kön-

nen Mitarbeiter durch die eigene Rückbindung

pro Compliance aktiviert werden. Das geht am

wirkungsvollsten, indem die Mitarbeiter einen

persönlichen wie professionellen Wertbeitrag leis-

ten und ihre eigene Zuständigkeit gegenüber dem

Th ema und seinem Wert spüren können. Von der

Compliance-Abteilung könnte beispielsweise ein

„Presenter Day“ initiiert werden: Die Abteilun-

gen und Teams des Unternehmens stellen „ihre“

Compliance innerhalb der jeweiligen Wirkungs-

bereiche vor. Präsentiert werden die Relevanz von

Compliance im Arbeitsbereich, die Maßnahmen

oder auch eigene Erfahrungen und Anekdo-

ten. Die Präsentationsleistung fördert nicht nur

Bewusstseinsbildung und kreative Auseinander-

setzung mit dem Th ema, sondern auch den Aus-

tausch über die betriebswirtschaft lichen Vorgänge

der verschiedenen Abteilungen unter der Schirm-

herrschaft der Compliance.

48

Interview


Compliance „state of the art“Im Gespräch* mit Manuela Mackert, Sprecherin des Vorstands von DICO-Deutsches Institut für Compliance e.V., über die Entwicklung der Compliance in Deutschland, über Werte und Kultur der Regeleinhaltung.



zu stehen! Wir möchten mit Ihnen gerne zwei

Th emenkomplexe besprechen. Zum einen

würden unsere Leserinnen und Leser gerne

mehr über die Schwerpunkte und Ziele von

DICO erfahren, zum anderen möchten wir

mit Ihnen in Ihrer Funktion als Chief Com-

pliance Offi cer über die aktuelle Compliance-

Entwicklung sprechen.

Gerne möchten wir mit einigen allge-

meineren Fragen anfangen und Sie in Ihrer

Funktion als Sprecherin des DICO-Vorstands

ansprechen: Was war die Motivation für die

Gründung des DICO, was ist seine wesentliche

Zielsetzung und Struktur?

Manuela Mackert: (lacht): Vor gut vier Jah-

ren kam Frank Hülsberg mit der Idee auf

mich zu, mit anderen Compliance-Kollegen

einen interdisziplinären und gemeinnützigen

Verband zu gründen, der das Th ema „Com-

pliance“ in Deutschland voran bringen sollte.

Sozusagen „von Praktikern für Praktiker“. So

etwas fehlte mir im Rahmen meiner Tätigkeit

als Chief Compliance Offi cer der Deutschen

Telekom bisher noch: Eine branchenübergrei-

fende Vereinigung, die die Compliance-Th e-

menstellungen von A wie Aufsichtsrat bis

Z wie Zertifi zierung mit all seinen Facetten

und Ausprägungen in der unternehmeri-

schen Landschaft prägt. Als ich dann noch

über meinen Kollegen Klaus Moosmayer das

Vertrauen erhalten habe, die Sprecherin des

damaligen Vorstands zu werden, wusste ich,

dass ich mit diesem tollen Team an meiner

Seite hier ernsthaft etwas bewegen kann.

DICO versteht sich als Ansprechpart-

ner für alle Compliance-Interessierten in

Wirtschaft , Verbänden und Gesetzgebung.

Wir haben es uns als Ziel gesetzt, Leitlinien

und Arbeitspapiere für die Compliance-

Arbeit zu entwickeln sowie die Fachwelt und

die interessierte Allgemeinheit zu allen Belan-

gen der Compliance zu informieren.

comply: Konnten die wesentlichen Zielset-

zungen bisher realisiert werden? In welchen

Bereichen sehen Sie derzeit noch den wesent-

lichen Handlungsbedarf, welche Ziele möchte

DICO bis 2017 erreichen?

Manuela Mackert: DICO hat mittlerweile

diverse Arbeitspapiere und Praxisleitfäden

zu verschiedenen Th emenschwerpunkten

wie „Geschäft spartner-Compliance“ oder

„Zielgruppenorientierte Schulungskonzepte“

herausgebracht, wir haben ein stabiles Netz-

werk zu unseren Kooperationspartnern, die

das „Compliance-Angebot“ thematisch sinn-

voll ergänzen (z.B. AdAR, AfIn, BME).

Wir organisieren Gesprächsabende zu Th e-

men wie dem DOJ Yates Memorandum, der

Zusammenarbeit mit der Staatsanwaltschaft

oder demnächst zum Th ema „Sportsponso-

ring“. Darüber hinaus hat sich unser jähr-

liches Mitgliederevent, das DICO Forum

Compliance zu einer der TOP-Veranstaltun-

gen in Deutschland etabliert, wenn es um das

Th ema Compliance geht. Richtig gut fi nde

ich, dass die hochklassigen Referenten fast

ausnahmslos DICO-Mitglieder sind. Und

Verband


49

Interview


nebenbei hat sich aus der tollen fachlichen

Arbeit unserer Organe und Arbeitskreise

heraus eine tolle Gemeinschaft entwickelt,

in der man mit seinen Fragestellungen nicht

allein gelassen wird. In dieser Gemeinschaft

fühle ich mich extrem wohl und aus den vie-

len Gesprächen mit anderen Kollegen nehme

ich mit, dass ich nicht die Einzige bin. Daher

bin ich sehr stolz auf das, was wir als kleines

aber feines, gemeinnütziges „Startup“ in den

letzten drei Jahren erreicht

haben.

Nun ist DICO an einem

Punkt angelangt, wo wir uns

auch außerhalb der Com-

pliance-Community noch

viel stärker aufstellen und

positionieren müssen, um

die interessierte Allgemein-

heit und fachfremde Funk-

tionsinhaber noch besser

über die Compliance-The-

men zu informieren.

comply: Neben DICO bestehen in Deutsch-

land weitere Organisationen, die sich

schwerpunktmäßig mit Compliance befas-

sen. Gemeint sind z.B. der Berufsverband

der Compliance Manager e.V., das Netzwerk

Compliance e.V. oder der Bundesverband

Deutscher Compliance Officer e.V. Auch im

Bundesverband der Unternehmensjuristen

e.V. wird Compliance behandelt. Wie könnte

man einem Compliance-Laien die Existenz

dieser diversen Organisationen erklären wie

grenzt sich der DICO von ihnen ab?

Manuela Mackert: Im Gegensatz zu den

Berufsverbänden, die ihren Berufsstand

zu fördern versuchen, versteht sich DICO

als unabhängiges und interdisziplinäres

Netzwerk für Unternehmen und Einzelmit-

glieder, das Hilfestellungen zu spezifischen

Compliance-Themen für die tägliche Arbeit

liefert. Hier steht also die fachliche Weiter-

entwicklung der Compliance als solches

im Vordergrund. Wer hierbei mitgestalten

möchte und nebenbei den Austausch mit

Vertretern aus der Wirtschaft, Wissenschaft,

Politik und Verwaltung sucht, ist bei DICO

goldrichtig.

comply: Ist daraus eine generelle Tendenz

zur Zusammenführung der vielen Organisa-

tionen zu erblicken?

Manuela Mackert: Ich denke, dass es

momentan keine fachliche Konsolidierung

der einzelnen Organisationen geben wird.

Jede der Gruppierungen hat einen unter-

schiedlichen Schwerpunkt und Ansatz in der

fachlichen Arbeit. Es wird laufen wie in der

freien Wirtschaft: Letztendlich entscheidet

das Mitglied, bei welcher der Organisatio-

nen es sich am besten aufgehoben fühlt, wo

es seine Ziele am besten umgesetzt sieht und

ob dort viel oder wenig passiert. Anhand der

steigenden oder fallenden Mitgliederzahlen

könnte man dann eine Indikation ableiten,

ob sich eine Organisation einen neuen Part-

ner suchen muss.

comply: Ihr Institut nimmt oft Stellung zu

politischen Themen und erarbeitet nützliche

Leitfäden für die Praxis, könnten Sie uns

davon ein wenig mehr erzählen?

Manuela Mackert: Bei DICO engagieren

sich kontinuierlich über 220 Mitglieder und

Vertreter unserer Unternehmensmitglie-

der in unseren sechs Ausschüssen und 12

Arbeitskreisen. Wir verfolgen hierbei den

interdisziplinären Ansatz, sodass Wirt-

schaft, Wissenschaft, Beratung, Verwaltung,

Justiz und Politik ein Forum finden, auf dem

sie gemeinsam Erfahrungen, Gedanken und

Ideen austauschen und weiterentwickeln

können. So stärkt DICO die Compliance in

den Mitgliedsunternehmen, indem diese

auf gemeinsam entwickelte Vorschläge und

Modelle, wie unsere Leitlinien, zurückgrei-

fen können.

Die DICO-Leitlinien richten sich an die

Compliance-Praktiker. Sie sollen einen Ein-

stieg in das Thema erleichtern und einen

Überblick verschaffen. Es wird daher bewusst

darauf verzichtet, juristische Sonderfälle und

Ausnahmeregelungen aufzuzeigen. Sie bie-

ten dem geneigten Leser praxistaugliche und

umsetzbare Empfehlungen für das jeweilige

Compliance-Thema. Mit unseren Veröffent-

lichungen soll zugleich der „state of the art“

aufgezeigt werden sowie eine Diskussion

zum jeweiligen Themenkreis angestoßen

werden.

comply: Nun lassen Sie uns zu den Fragen

kommen, die wir Ihnen gerne in Ihrer Funk-

tion als Chief Compliance Officer stellen

möchten: Werte, Kultur, Mensch. In welchem

Zusammenhang sehen Sie diese Begriffe zu

einem Compliance Management System?

Manuela Mackert: Eine reine Legal Com-

pliance wäre mit mir nicht zu machen. Die

Unternehmenskultur und damit die Men-

schen sind der wesentliche Schlüssel für

ein funktionierendes Compliance Manage-

ment. Wenn man mit den Business-

Verantwortlichen und ihren Teams zusam-

men die Prozesse erarbeitet,

sie verständlich und nach-

vollziehbar macht, erhält

man gleich ein anderes Com-

mitment. Eine so entwickelte

intrinsische Motivation ist

für mich die beste Grundlage

integeren Verhaltens. Erst

wenn die Vorgaben wirk-

lich akzeptiert und gelebt

werden, ist Compliance im

Arbeitsalltag angekommen.

Gleichzeitig setzen wir bei

der Deutschen Telekom vor

allem darauf, Fehlverhalten schon im Vor-

feld vorzubeugen. Durch ansprechende

Trainings und umfassende Beratungsan-

gebote sollen Menschen informiert und für

Compliance gewonnen werden. So schließt

sich der Kreis für mich, denn damit stärkt

Compliance die Unternehmenskultur.

comply: Wird den oben genannten Begriffen

Ihrer Ansicht nach heutzutage in den meisten

CMS noch zu wenig Rechnung getragen? Viel-

leicht könnten Sie stärker zum Tragen kom-

men, wenn intergierte Governance-Ansätze

implementiert werden würden?

Manuela Mackert: Ich nehme eine Ver-

schiebung vom formalen Compliance

Management hin zur Gestaltung von Unter-

nehmenskulturen wahr. Die Erkenntnis ist

vorhanden, dass verhaltensökonomische

Ansätze helfen können, das CMS effektiver

zu gestalten. Die Herausforderung besteht

nun darin, praxistaugliche und wirksame

Maßnahmen abzuleiten. Integrierte Gover-

nance-Ansätze werden auch bei der Deut-

schen Telekom schon seit einigen Jahren

erfolgreich umgesetzt. Meine Praxiser-

fahrung zeigt: Diese Ansätze helfen dabei

einen ganzheitlichen Blick auf Risiken und

Maßnahmen zu gewinnen. Sie führen aber

nicht automatisch dazu, dass Werte und

Menschen stärker in den Blickwinkel gera-

ten. Das muss von den Leitern der beteilig-

ten Risiko-Funktionen klar eingefordert

werden.

comply: Obwohl die allgemeine Compli-

ance-Entwicklung immer mehr die obigen

Werte berücksichtigt, stößt man in der

Verband

„Aufgabe der Compliance Officer ist es,

Regelwerke lesbar und anwendbar

zu machen.“

50

Interview


Unternehmensrealität trotzdem in der Regel

auf Widerstände. Compliance wird immer

noch meistens als Einhaltung des Rechts und

Schutz der Vorstände vor Haft ung verstan-

den. Wie könnte dagegen Ihrer Ansicht nach

in den Unternehmen und auf der politischen

Ebene vorgegangen werden? Sollte in der Hin-

sicht auch der Gesetzgeber tätig werden?

Manuela Mackert: Widerstände sind häufi g

dann am größten, wenn etwas nicht verstan-

den wird. Aufgabe der Compliance Offi cer

ist es daher die Regelwerke lebbar und

anwendbar zu machen. Der Nutzen und die

Sinnhaft igkeit müssen vermittelt werden. Als

Compliance-Verantwortliche müssen wir

klar machen, dass jeder etwas von Regeltreue

hat. Ob es um das Ansehen des Unterneh-

mens geht, um die erfolgreiche Beteiligung

an Ausschreibungen oder die Attraktivität

am Kapitalmarkt, Compliance trägt zum

Unternehmenserfolg bei – und davon profi -

tieren auch die Beschäft igten. Das zu vermit-

teln sehe ich in erster Linie als Aufgabe der

Compliance-Verantwortlichen, nicht als eine

Aufgabe der Politik.

Darüber hinaus sehe ich aber noch eine

weitere Größe: Immer mehr Investoren ach-

ten sehr genau darauf, wo sie ihre Gelder

anlegen. Sie analysieren daher sehr detail-

liert, ob es sich um nachhaltige, integere

Unternehmen handelt. So wird Compliance

auch immer mehr zu einem messbaren Fak-

tor, wenn aufgrund nachvollziehbarer, guter

Unternehmenskultur und -führung das

Unternehmens-Rating steigt.

comply: Wo wir die Politik angesprochen

haben: Zumindest in der laufenden Legisla-

turperiode scheinen die Reformen im direk-

ten Compliance-Bereich vom Tisch zu sein.

Der DICO hat sich gegen die Einführung

einer Unternehmensstrafe ausgesprochen,

jedoch eine Reform des OWiG vorgeschla-

gen. Wir dringend ist in Deutschland Ihrer

Ansicht nach der Reformbedarf?

Manuela Mackert: DICO, d.h. unser Arbeits-

kreis Strafrecht unter der Leitung von Prof.

Dr. Alfred Dierlamm, hat die Einführung

der Unternehmensstrafe intensiv geprüft .

Ein aus Unternehmensvertretern, Universi-

tätsprofessoren und Justizpraktikern beste-

hender Arbeitskreis bei DICO hat sich nach

eingehender Erörterung gegen die Unterneh-

mensstrafe ausgesprochen und eine Reform

der §§ 30, 130 OWiG vorgeschlagen. DICO

fordert daher immer noch, dass Compliance

im Gesetz ausdrücklich verankert wird und

entsprechende Anreize für die Einführung

von Compliance-Maßnahmen in Unterneh-

men geschaff en werden – eine Reform, die

aus unserer Sicht längst überfällig ist.

comply: Off ensichtlich fehlt es immer noch an

gesetzlichen Compliance-Anreizen. Wie wür-

den Sie die unentschlossenen Unternehmen

dazu motivieren, CMS zu implementieren?

Manuela Mackert: Ich nehme wahr, dass

immer mehr Unternehmen verstehen,

warum Compliance für sie wichtig ist.

Compliance erfüllt keinen Selbstzweck, son-

dern hat unmittelbare Geschäft srelevanz.

Compliance-Zertifi zierungen gewinnen an

Bedeutung für die erfolgreiche Teilnahme

bei Ausschreibungen, Nachhaltigkeitsinves-

toren legen ein besonderes Augenmerk auf

das Th ema und wollen sehr genau wissen,

wie Compliance sichergestellt wird. Und

schließlich geht es um die Stärkung des

Vertrauens unserer Kunden. Rechtmäßi-

ges Handeln schafft Glaubwürdigkeit – ein

Punkt den Konsumenten zunehmend bei

ihrer Kaufentscheidung berücksichtigen.

Entscheidender als die Frage, ob überhaupt

ein CMS umgesetzt wird ist daher für mich

die Frage, in welchem Umfang ein CMS für

das jeweilige Unternehmen angemessen ist.

comply: Nun haben wir bisher nur über die

Wirtschaft gesprochen. Doch handelt es sich

ebenfalls bei den Einheiten der öff entlichen

Verwaltung um Organisationen mit Mitglie-

dern, die Compliance-Risiken ausgeliefert

sind. Die Rechtsprechung fordert immer

klarer und deutlicher von der Wirtschaft die

Implementierung von CMS, lässt aber die

öff entlichen Einrichtungen unberücksichtigt.

Ist das der richtige Weg oder sollten ausge-

rechnet diese Organisationen (Ministerien,

Kommunen, Städte, etc.) mit einem guten

Beispiel voran gehen?

Manuela Mackert: Sicherlich gehören Com-

pliance Management Systeme längst zum

Standard moderner Unternehmensführung.

Aber ich habe den Eindruck, dass auch in der

öff entlichen Verwaltung das Th ema zuneh-

mend an Bedeutung gewinnt, da Bürger

Verband

und Steuerzahler von den Mitarbeitern der

öff entlichen Verwaltung doch noch mehr als

von Privaten die Beachtung von Recht und

Gesetz erwarten. Von der Einhaltung von

Regeln und Gesetzen als Selbstverständlich-

keit auszugehen, ist aber äußerst gefährlich,

sind doch die Grenzen zwischen zulässigem,

sozialadäquatem Verhalten und unzulässiger

Beeinfl ussung fl ießend.

Vor diesem Hintergrund nehme ich wahr,

dass der Bedarf zum Th ema Einführung

von CMS an dieser Stelle sehr groß ist. Wir

planen derzeit im Herbst diesen Jahres das

Gespräch mit den relevanten Ansprechpart-

nern der Ministerien, um zu schauen, wie

DICO die öff entlichen Organe hierbei unter-

stützen kann.

comply: Zum Schluss möchten wir Ihnen eine

eher visionäre Frage stellen. Das Handelsblatt

hat einmal aus der Compliance-Entwicklung

die Cover-Story unter dem Titel „Die neuen

Mächtigen. Der Compliance-Wahnsinn und

die Herrschaft der Anwälte in deutschen

Unternehmen“ gemacht. Meinen Sie, dass mit

Compliance in Deutschland inzwischen über-

trieben wird? Und wenn wir bedenken, dass

auch in Unternehmen, die exzellente und teils

zertifi zierte CMS besitzen, auch Compliance-

Probleme auft reten, sollte man nicht lieber

sagen, dass Compliance inzwischen geschei-

tert ist? Wo geht die Compliance-Reise in den

nächsten Jahren hin?

Manuela Mackert: Es kann keine Rede davon

sein, dass Compliance gescheitert ist. Im

Gegenteil: Compliance etabliert sich immer

weiter in der Unternehmenslandschaft . Glo-

bale Geschäft e und auch die Digitalisierung

brauchen Regeln und eine gute Beratung

seitens Compliance, um den Anforderungen

des ehrbaren Kaufmanns gerecht zu werden.

Wichtig ist dabei das gesunde Mittelmaß zu

fi nden. Compliance muss vor allem anwend-

bar sein und gelebt werden können. Es darf

nicht als Bürokratiemonster mit unsinni-

gen Vorgaben daherkommen. Aber klar ist

auch: Selbst das beste CMS schützt nicht vor

schwarzen Schafen und kriminellen Einzel-

fällen – doch es senkt die Möglichkeiten für

Fehlverhalten. Stellen Sie sich nur vor, wo wir

heute ohne Compliance stünden? Compliance

muss sich mit den aktuellen Veränderungen

im Zuge der Digitalisierung und den Erwar-

tungen der Öff entlichkeit hinsichtlich Ethik

in der Wirtschaft auseinandersetzen. Dabei

muss es sich vor allem noch selbstverständ-

licher in den Arbeitsalltag von Beschäft igten

und Führungskräft en integrieren, um akzep-

tiert zu werden.

comply: Liebe Frau Mackert, herzlichen

Dank für das Gespräch!

51comply. 3/2016 www.comply-online.decomply. 1/2016 www.comply-online.de

Gierschmann · Schlender · Stentzel · Veil (Hrsg.)

Kommentar Datenschutz-Grundverordnung


shop.bundesanzeiger-verlag.de/0721-5 shop.bundesanzeiger-verlag.de/0638-6

Jetzt versandkostenfrei (deutschlandweit) bestellen:


E-Mail: [email protected]: 0221/ 9 76 68-291/315 · Fax: 0221/9 76 68-271in jeder Fachbuchhandlung


Gierschmann · Veil · Schlender · Stentzel (Hrsg.)

Gierschmann (Hrsg.)

Mit der Datenschutz-Grundverordnung kommt erstmalig ein europaeinheitliches Datenschutzrecht. Nach Verabschiedung tritt sie unmittelbar in Kraft, erlangt aber erst zwei Jahre später Geltung.

In diesem Übergangszeitraum wird erhebliche Unsicherheit über die genaue Anwendung und Auslegung des neuen Rechts bestehen. Die Verordnung enthält zahlreiche unbestimmte Rechts-begriffe, die europarechtlich auszulegen sind, entsprechende Rechtsprechung und Verwaltungs-praxis existiert jedoch noch nicht.

Mit der EU-Datenschutz-Grundverordnung (DS-GVO) kommt erstmalig ein europaeinheitliches Datenschutzrecht. Die DS-GVO ist ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten verbindliches und unmittelbar anwendbares Recht. Sie enthält nicht nur bereits bekannte, sondern auch viele neue Konzepte und Pfl ichten, für deren Einhaltung die Unternehmen in zwei Jahren bei Meidung hoher Bußgelder rechenschaftspfl ichtig sind. Es ist deshalb dringend erforderlich, sich bereits jetzt mit der Verordnung auseinanderzusetzen.

ISBN 978-3-8462-0639-0Auch als E-Book (PDF), 119,00 € (Subskriptionspreis)Einzelplatzlizenz, Mehrplatzlizenzen auf AnfragePDF

E-BookEEE BBBBBEEEE

ISBN 978-3-8462-0638-62016, ca. 1000 Seiten, 16,5 x 24,4 cm, Buch (Hardcover), Subskriptionspreis 119,00 € gültig bis 30.11.2016, danach 139,00 €Erscheinungstermin: 3. Quartal 2016


Workbook Datenschutz-Grundverordnung

Gierschmann · Schlender · Stentzel · Veil (Hrsg.)



IHRE VORTEILE

IHRE VORTEILE

Verstehen Sie Hintergründe und Zielsetzung der EU-Datenschutz-Grundverordnung

Erkennen Sie rechtzeitig Ihre Pflichten und setzen Sie sie um

Profitieren Sie von einem exklusiven Autorenteam, das in die Entstehung der Verordnung unmittelbar involviert war

Systematische Aufbereitung der DS-GVO für den Praktiker

Direkt einsetzbare Arbeitshilfe zur Vorbereitung der Umsetzung der DS-GVO

Schulungsmaterial für Jedermann

Zuordnung zu den Entwurfsmaterialien erleichtert die historische und systematische Auslegung des Textes

Die umfassende Orientierung im neuen Datenschutzrecht!NEU


Gierschmann (Hrsg.)

Workbook Datenschutz- GrundverordnungSystematisch aufbereitet für den Praktiker

Die Einstiegshilfe in das neue Datenschutzrecht!

ISBN 978-3-8462-0721-5 (deutsch)

ISBN 978-3-8462-0728-4 (engl.)

2016, 300 Seiten, 21 x 29,7 cm,Buch (Softcover), 39,80 €

ISBN 978-3-8462-0722-2 (deutsch)

ISBN 978-3-8462-0729-1 (engl.)

Online-Publikation, 39,80 €Einzelplatzlizenz, Mehrplatzlizenzen auf Anfrage

online

Buch und Online-Anwendung auch im Bundle erhältlich – 69,00 €Best.-Nr. 221622191(deutsch) / 221622291(engl.)

Auch in Englisch!NEU

Workbook Datenschutz-Grundverordnung

ONLINE


Compliance in der LieferketteWie auch kleine und mittelständische Unternehmen von Experten großer Unternehmen im Rahmen des Trainingsprogramms der Allianz für Integrität profi tieren können.Die Bekämpfung von Korruption gewinnt weltweit immer mehr an Bedeutung und nimmt mittlerweile

in der öff entlichen Diskussion einen hohen Stellenwert ein. Dabei spielt der Privatsektor eine entschei-

dende Rolle. Regierungen, Nichtregierungsorganisationen und Verbraucher verlangen bei Unternehmen

nach mehr Transparenz, korrekten Rechenschaft sberichten sowie aufrechtem und fairem Handeln.

Dies liegt einerseits an der Erkenntnis, dass Korruption ein zentraler Auslöser für soziales Elend und

unzureichende wirtschaft liche Entwicklung ist. Andererseits zeigt sich auch innerhalb der Gesetzgebung

vieler Länder eine deutliche Tendenz hin zu Normierungen, die für Unternehmen verpfl ichtende, prä-

ventive Maßnahmen zur Stärkung von Integrität vorsehen.


Allianz für Integrität – Business Take Action

Dies stellt insbesondere kleine und mittelständische

Unternehmen (KMU) vor besondere Herausfor-

derungen, denn sie verfügen in der Regel nur über

begrenzte personelle und fi nanzielle Ressourcen,

gerade wenn sie sich als Teil von globalen Lieferketten

einem harten Wettbewerb ausgesetzt sehen. Um eine

Integritätskultur zu vermitteln, sind praxisorientierte

Compliance-Trainings für das Personal unerlässlich.

Genau hier setzt die Allianz für Integrität1 an,

indem sie Peer-to-Peer Learning, Wissenspooling

und Erfahrungsaustausch zwischen Unternehmen

fördert und so langfristig ein Level-Playing-Field schafft .

Die Allianz für Integrität ist eine wirtschaft sgetriebene

Multistakeholder-Initiative aus Unternehmen, Zivil-

gesellschaft , staatlichen Akteuren und internationalen

Organisationen, deren Ziel es ist, Korruptionsrisiken im

Wirtschaft ssystem durch Collective Action zu vermin-

dern. Die Initiative wird von der Deutschen Gesellschaft

für Internationale Zusammenarbeit (GIZ) GmbH im

Auft rag des Bundesministeriums für wirtschaft liche

Zusammenarbeit und Entwicklung (BMZ) umgesetzt

und ist neben Deutschland zurzeit in Brasilien, Indien,

Indonesien, Ghana und in den jeweiligen Regionen

aktiv. In Lateinamerika besitzt die Allianz für Integrität

eine starke Präsenz durch das in Kooperation mit den

deutschen Auslandshandelskammern und den lokalen

UN Global Compact-Netzwerken implementierte „De

Empresas Para Empresas“ („Von Unternehmen für

Unternehmen“) Compliance-Trainingsprogramm.

Das World Bank Institute (WBI) defi niert „Collective Action“ als:

“[…] a collaborative and sustained process of cooperation amongst stakeholders. It increases the impact and credibility of individual action, brings vulnerable individual players into an alliance of like-minded organizations and levels the playing field between competitors. Collective Action can complement or temporarily substitute for and strengthen weak local laws and anti-corruption practices” (WBI, 2008).

Gerade in einer globalisierten Weltwirtschaft genügt es nicht, wenn lediglich große Konzerne ihre Compliance-Fähigkeiten erhöhen. In schwierigen Märkten kann nur gemeinsam mit anderen Stakeholdern langfristig ein Level-Playing-Field geschaffen werden. Collective-Action-Initiativen wie die Allianz für Integrität können hierbei eine unter-stützende Rolle einnehmen. Für die Legitimität und den Erfolg solcher Maßnahmen ist es daher wichtig, dass sich so viele und verschiedene Unternehmen wie möglich an kollektiven Maßnahmen beteiligen.

„Von Unternehmen für Unternehmen“

Das Compliance-Trainingsprogramm der Allianz für

Integrität ist das Kerninstrument beim Aufb au von

Antikorruptionskapazitäten in Unternehmen. Das

Trainingsprogramm wurde in Zusammenarbeit mit

dem Deutschen Global Compact Netzwerk (DGCN)

entwickelt und in Kooperation mit dem UN Global

Compact-Netzwerk Argentinien und der deutsch-

argentinischen Auslandshandelskammer in Argenti-

nien pilotiert. Das Trainingsprogramm unterscheidet

sich maßgeblich von vielen anderen Weiterbildungen

im Bereich Compliance, denn es vereint international

erprobte Lösungsansätze mit besonders praxisnahen

Beispielen. Um einen Beitrag zum Erfahrungsaus-

tausch zu leisten, setzt das Trainingsprogramm auf

Unternehmensvertreter als zentrales Glied in einem

Train-the-Trainer-Ansatz. Als Alleinstellungsmerk-

mal erweist sich jedoch der Online Support Desk, der

es Trainingsteilnehmern erlaubt, sich im Nachgang

der Trainings mit in der Regel praktischen Fragen

zur Implementierung des Gelernten an Experten zu

wenden. Das Trainingsprogramm ist mittlerweile

in Argentinien, Brasilien, Chile, Mexiko, Kolum-

bien, Paraguay und Uruguay aktiv und wird 2016 auf

Deutschland, Ghana, Indien und Indonesien ausgewei-

tet. In Lateinamerika wurden im Zeitraum Januar 2015

bis Juni 2016 bereits mehr als 350 Vertreter von mehr

als 250 KMUs und anderen Organisationen trainiert.

Drei Schritte mit dem Fokus auf mittelständische Unternehmen

Beim Compliance-Trainingsprogramm der Allianz

für Integrität handelt es sich um einen Train-the-

Trainer-Ansatz. Das heißt, in der ersten Phase wer-

den Vertreter großer Unternehmen von Experten der

Allianz für Integrität im Bereich Korruptionspräven-

tion trainiert. Große Unternehmen verfügen vielfach

über spezialisiertes Personal im Bereich Compliance.

Diese Mitarbeiter sind in der Regel mit dem Th ema in

der Th eorie und in der Praxis vertraut und eignen sich

deshalb bestens als Trainer für KMUs mit kaum oder

wenigen Kenntnissen im Bereich Compliance.

Praxistransfer durch Trainer großer Unternehmen an Vertreter von KMUDie Vertreter großer Unternehmen engagieren sich

in weiterer Folge unentgeltlich als Trainer für die

Allianz für Integrität und geben ihr Wissen und

ihre Praxiserfahrung in der zweiten Phase unter

Anleitung der Experten an Vertreter von KMUs

weiter. Viele KMUs besitzen keine Experten im

Bereich Compliance, sondern die Aufgabe wird von

Angestellten mit einer Vielzahl von Zuständigkeiten

übernommen. KMUs leiden deshalb in der Regel

unter einem Wissensdefi zit im Bereich Compliance.

Durch den Trainingsansatz der Allianz für Integri-

tät werden Korruptionspräventionskapazitäten von

KMUs gezielt gestärkt, indem Wissensaustausch und

gegenseitiges Lernen gefördert wird. KMUs erhöhen

Noor Naqschbandi

Der Autor leitet die

Allianz für Integrität der

Gruppe Zusammenar-

beit mit der Wirtschaft ,

Abteilung Wirtschaft

und Soziales der Deut-

schen Gesellschaft für

Internationale Zusam-

menarbeit (GIZ) GmbH.

EssentialsInnovation


dadurch ihre Wettbewerbsfähigkeit und verfügen

über praktische Werkzeuge um Korruptionsrisi-

ken zu minimieren. Vertreter großer Unternehmen

besitzen eine hohe Glaubwürdigkeit als Trainer, da

sie sich in ihrer täglichen Praxis mit dem Th ema

Compliance beschäft igen. Auch große Unternehmen

profi tieren: ihr Engagement wird von Geschäft spart-

nern und Kunden gesehen und den Mitarbeitern

wird eine glaubhaft e und vertrauenswürdige Com-

pliance-Kultur vermittelt. Langfristig kann dies

durch Reputationsgewinne einen erheblichen Bei-

trag zum wirtschaft lichen Erfolg des Unternehmens

leisten. Darüber hinaus können große Unternehmen

Geschäft spartner und Zulieferer mit mangelnden

fi nanziellen und personellen Ressourcen gezielt im

Bereich Compliance schulen lassen.

Kontinuierlicher Online Support durch ExpertennetzwerkIn der dritten Phase folgt die kontinuierliche Beglei-

tung der Trainingsteilnehmer durch den Online

Support Desk der Allianz für Integrität. Die Trai-

ningsteilnehmer erhalten Zugang zum Wissenspool

der Allianz für Integrität. Zudem können Fragen

an ein Expertennetzwerk gestellt werden, die in der

Regel innerhalb von 72 Stunden beantwortet wer-

den. Neben hauptsächlich Umsetzungsfragen geht

es hier auch oft um den psychologischen Aspekt der

Begleitung des Compliance-Kapazitätsaufb aus durch

Experten. Unternehmen haben darüber hinaus die

Möglichkeit, sich im Bereich Collective Action zu

engagieren und an weiteren Aktivitäten der Allianz

für Integrität teilzunehmen.

Wie verhalte ich mich im Graubereich?

Das Trainingsprogramm bringt internationale Good-

Practice-Ansätze mit besonders praxisorientierten

Beispielen zusammen und setzt keine vertieft en

Kenntnisse der Korruptionsprävention voraus. Der

inhaltliche Aufb au des Trainingsprogrammes ist wie

folgt: In einem ersten Schritt erfolgt eine Begriff s-

klärung. Im Zentrum stehen die Fragen: Was ist

Korruption und welche Arten der Korruption gibt

es? Dieser elementare Auft akt erlaubt es, einen off e-

nen und unvoreingenommenen Austausch zwischen

den Trainingsteilnehmern zu fördern. Im zweiten

Schritt steht die Relevanz von Compliance für das

eigene Unternehmen im Fokus. Die Frage wie das

eigene Unternehmen von Korruption betroff en ist

und warum Korruptionsprävention wichtig ist, wird

anhand von Praxisbeispielen erläutert. Im dritten

Schritt wird konkret auf Risikofaktoren eingegan-

gen. Es erfolgt eine Darstellung von typischen Risi-

ken anhand von Praxisbeispielen, in denen auch

der korrekte Umgang mit Risiken erläutert wird.

Abschließend werden Lösungsoptionen für kritische

Situationen und mögliche Präventionsmaßnahmen

dargestellt. Im Zentrum stehen Fragen wie: Was sind

die wesentlichen Bestandteile eines Ethik- und Com-

pliance-Programms? Was sollte bei der Auswahl von

Geschäft spartnern beachtet werden? Wie verhalte

ich mich in kritischen Situationen? Welche Chancen

bietet kollektives Handeln? Je nach Erwartungen und

Anforderungen der Trainingsteilnehmer wird der

Fokus des Trainings fl exibel angepasst.

Essentials Innovation

Abb. 1: Funktionsweise des Trainingsprogrammes

FAZIT

Abschließend muss festgehalten werden,

dass Compliance-Trainings alleine nicht aus-

reichen, um eff ektiv Korruptionsrisiken in

Unternehmen zu minimieren. Vielmehr ist

ein vielschichtiger Ansatz zur Korruptionsprä-

vention mit Bewusstseinsschaff ung, nachhal-

tigem Kapazitätsaufb au sowie Wissens- und

Erfahrungsaustausch zwischen Unternehmen

nötig, um langfristig Erfolge zu erzielen. Hier-

bei können Collective-Action-Initiativen einen

entscheidenden Beitrag leisten.

1 World Bank Institute WBI.2008. Fighting Corruption

Th rough Collective Action: A Guide for Business.

info.worldbank.org/etools/docs/antic/Whole_guide_

Oct.pdf. Zugegriff en: 20. Mai 2016.

Phase 1 Phase 2 Phase 3

Train-the-Trainer

Compliance Offi cer aus Unternehmen werden als Trainer ausgebildet und lernen, wie sie ihr Wissen anderen Unterneh-men vermitteln können.

Korruptionspräventions-training

Die in Phase 1 ausgebildeten Trainer schulen lokale KMU

Support Desk

Unternehmen, die an dem Training teilgenommen haben, werden durch ein Support Desk unterstützt, um die Theorie in die Praxis umzusetzen.

Expertennetzwerk

KMUMultinationales Unternehmen

Multinationales Unternehmen


Essentials

Softskills

HinweisDie Allianz für Integrität ist eine wirtschaft sgetrie-

bene Multi-Stakeholder-Initiative unter Beteiligung

von Unternehmen, verfasster Wirtschaft , öff entli-

chem Sektor, Zivilgesellschaft und internationalen

Organisationen. Ziel der Allianz für Integrität ist es,

durch Collective Action integres Verhalten bei Unter-

nehmen, ihren Geschäft spartnern und weiteren rele-

vanten Akteuren im Wirtschaft ssystem zu fördern.

Das Bundesministerium für wirtschaft liche Zusam-

menarbeit und Entwicklung, die Wirtschaft spitzen-

verbände BDI & DIHK, mehrere Unternehmen und

Transparency International Deutschland haben die

Initiative gegründet. Die Allianz für Integrität ist in

Deutschland, Brasilien, Ghana, Indien und Indone-

sien sowie den jeweiligen Regionen aktiv. Dieses Jahr

fi ndet die globale Konferenz der Allianz für Integri-

tät unter dem Motto „From commitment to action -

applying integrity in practice“ am 17. November 2016

in Buenos Aires, Argentinien statt.

Weitere Informationen fi nden Sie auf

www.allianceforintegrity.org.

Compliance. Wissen. Praxis.Maßgeschneiderte Compliance-Seminare, Inhouse Trainings und Workshops

Willkommen bei der Compliance Academy!

Sie sind Einsteiger im Themenbereich Compliance, fachkundiger Compliance Manager oder suchen nach einem für ein

kleines oder mittelständisches Unternehmen zugeschnittenen Compliance-Konzept?

Dann fi nden Sie unter den zahlreichen Schulungsthemen der Compliance Academy das richtige Know-how für Ihren Bedarf.

Durch die enge Kooperation mit dem Viadrina Compliance Center der Europa-Universität Viadrina und dem damit verbun-

denen Wissenstransfer aus Forschung und Lehre direkt in die Praxis wird Ihnen bei der Compliance Academy Schulungs-

qualität auf höchstem Niveau geboten.

Wir freuen uns über Ihr Interesse und beraten Sie gerne.

Ihr Team der Compliance Academy

Start Up Seminar ComplianceWie viel Compliance braucht mein Unternehmen?

Perfekt für Einsteiger

Termin und Ort

09.-10.11.2016 || Münster

Einfach online anmelden:

www.ca-seminare.de


Kein Deckungsschutz bei Korruption

Die Korruptionsfreiheit des Exportgeschäft s ist eine wesentliche Vorausset-

zung dafür, dass der Exporteur eine Hermes-Deckung, die ihn vor einem

Zahlungsausfall im Ausland schützt, erhalten kann. Deutschland hat die

für die Korruptionsprävention bei der Übernahme von Exportkredit-

garantien maßgebliche Empfehlung der OECD, die „Recommendation

on Bribery and Offi cially Supported Export Credits“ vom 18. Dezember

2006 in einem zweistufi gen Verfahren umgesetzt. Der vorliegende Bei-

trag stellt die Anforderungen an den Exporteur im Antragsverfahren dar

und weist auf die Konsequenzen hin, die den Exporteur treff en, wenn

sich nach Indeckungnahme herausstellen sollte, dass das Exportgeschäft

durch eine Korruptionshandlung zustande gekommen ist.

Deckung nur bei Korruptionsfreiheit

Die Exportkreditgarantien des Bundes („Her-

mes-Deckungen“) sind das wichtigste Instrument der

Außenhandelsförderung. Gerade bei großvolumigen

Exportgeschäft en zu mittel-/langfristigen Zahlungs-

bedingungen ist eine Hermes-Deckung in vielen Fäl-

len unverzichtbar. 2015 wurden deutsche Exporte in

einer Größenordnung von 25,8 Milliarden € mit einer

Hermes-Deckung gefördert.

Eine Deckung, die den Exporteur vor wirtschaftlich

und politisch bedingten Zahlungsausfällen schützt,

wird nur übernommen, wenn das Risiko vertretbar

erscheint und das Geschäft förderungswürdig ist.

Dabei ist die Korruptionsfreiheit – d.h., dass das

Geschäft nicht durch eine strafbare Handlung,

insbesondere Bestechung herbeigeführt worden ist –

ein zentrales Element der Förderungswürdigkeit.

OECD Recommendation bietet Rechtsrahmen

Die Bekämpfung der Korruption im internationa-

len Handelsverkehr ist ein Ziel, das in der OECD

mit hoher Priorität verfolgt wird. 1997 wurde in der

OECD das Abkommen über die Bekämpfung der

Bestechung ausländischer Amtsträger im internatio-

nalen Geschäft sverkehr geschlossen. Dieses Abkom-

men verpfl ichtete die beigetretenen Staaten, die

Bestechung ausländischer Amtsträger unter Strafe

zu stellen. Das Verbot, ausländische Amtsträger zu

bestechen fand auf der Ebene der Exportkredite sei-

nen Niederschlag, in einem „Action Statement“, das

2000 in der Export Credit Group der OECD verab-

schiedet wurde. Das Action Statement wurde 2006

überarbeitet und verschärft und erhielt den Status

einer „OECD Recommendation“.

Die Recommendation enthält u.a. auf Seite des

Exportkreditversicherers die Verpfl ichtung, zu prü-

fen, ob der Exporteur auf der Sperrliste einer inter-

nationalen Finanzinstitution (wie z.B. der Weltbank)

steht. Exporteure haben auf Verlangen die Identität

von Vermittlern off en-

zulegen und auch Höhe

und Zweck geleisteter

Provisionen darzulegen.

Im Antrags- und Entschä-

digungsverfahren muss

der Exportkreditversicherer

verschärft e Prüfungsmaßstäbe

(enhanced due diligence) anlegen,

wenn sich der Antragsteller auf einer

Sperrliste befi ndet, wenn er wegen

Korruption in den letzten fünf Jahren vor

Antragstellung verurteilt worden ist oder wenn

sonstige Verdachtsmomente vorliegen. Im Falle

eines hinreichenden Verdachts (credible evidence),

dass der Exportvertrag durch Korruption zustande

gekommen ist, sind die Strafverfolgungsbehörden zu

informieren.

In der Export Credit Group der OECD wird zur Zeit

über eine Weiterentwicklung der Recommendation

verhandelt.

Umsetzung im nationalen System der Hermes-Deckungen durch Zusicherung des Exporteurs

Die Vorgaben der OECD hat der Bund folgenderma-

ßen umgesetzt: Bei allen Einzeldeckungen (Lieferan-

tenkreditdeckung und Finanzkreditdeckung) hat der

Exporteur bzw. die Bank in einer gesonderten Anlage

zum Deckungsantrag eine Erklärung abzugeben:

Branche Außenwirtschaft

Exportkreditgarantien

„Wir versichern als Exporteur, dass

der Abschluss des Ausfuhrvertrages nicht

durch eine strafb are Handlung, insbesondere

Bestechung, herbeigeführt worden ist bzw.

herbeigeführt werden wird.“

Vect

or –

foto

lia.c

om


von Korruptionsdelikten eine

Geldbuße nach § 30 OWiG fest-

gesetzt wurde. Dabei ist über

den Anwendungsbereich der

OECD Recommendation

hinaus jede Bestechung (und

nicht nur die eines Amtsträ-

gers) relevant. Dies ist auch

im Hinblick auf § 299

StGB konsequent.

Der Bund klärt, ob

der Antragsteller auf der

Sperrliste einer interna-

tionalen Finanzinstitu-

tion steht.

Ist dies der Fall oder

werden Fragen nach

einer Involviertheit in

Korruptionshandlungen

positiv beantwortet, schließt

sich in einer zweiten Stufe

eine vertieft e Prüfung (due

diligence) an, deren Aus-

gestaltung vom Einzelfall

abhängt. Auf jeden Fall hat

der Exporteur Stellung zum

internen korruptionspräventiven

Kontrollsystem zu nehmen. Auch

Fragen zu eingeschalteten Agenten

und Provisionszahlungen drängen

sich auf. 2015 standen 75 Unternehmen

(inklusive Konzerngesellschaft en) unter

vertieft er Korruptionsprüfung. Im abgelau-

fenen Jahr hatten 1.124 Unternehmen einen

Antrag auf eine Hermes-Deckung gestellt; d.h.

immerhin 6,7 % der Antragsteller mussten sich einer

vertieft en Prüfung unterziehen.

Dr. Eckhardt Moltrecht

Der Autor ist Rechts-

anwalt und war bis

März 2016 Mitglied

der Direktion bei Euler

Hermes und leitete das

Department „Interna-

tional Cooperation“ der

Exportgarantien des

Bundes.

BrancheAußenwirtschaft

Ist diese Erklärung unwahr (und kannte der Exporteur ihre Unrichtigkeit bzw. hätte sie kennen müssen), führt dies automatisch zur Haftungsbe-

freiung, wobei der Exporteur das sog. Entgelt (d.h. die Versicherungsprämie) nicht zurückerhält.

Diese Konstruktion knüpft also primär nicht an die strafbare Korruptionshandlung an, sondern an die falsche Angabe darüber. Auf die Person desjeni-

gen, der die Bestechungshandlung vorgenommen hat, kommt es nicht an.

Prüfung des Exporteurs im Antragsverfahren

Im Antragsverfahren hat der Exporteur off enzu-

legen, ob er bzw. ein Mitarbeiter oder Agent in den

letzten fünf Jahren vor Antragstellung wegen Beste-

chung vor einem nationalen Gericht angeklagt oder

verurteilt wurde, ob ein Strafverfahren gegen ihn

oder Mitarbeiter in den letzten fünf Jahren nach

§ 153a StPO eingestellt wurde oder ob z.B. wegen

mangelnder Aufsichtsmaßnahmen zur Verhinderung

FAZIT

Die korruptionsfreie Abwicklung eines

Exportgeschäft s ist eine wesentliche Voraus-

setzung dafür, dass dieses Geschäft förde-

rungswürdig ist und eine Hermes-Deckung

erhalten kann. Stellt sich heraus, dass das

Geschäft entgegen der Angaben des Expor-

teurs im Deckungsantrag durch Korruption

zustande gekommen ist, erhält der Expor-

teur im Schadensfall keine Entschädigung.

Die geleistete Versicherungsprämie (Entgelt)

wird nicht erstattet. Im Fall von Verdachts-

momenten oder früherer Involviertheit des

Exporteurs in Korruptionshandlungen erfolgt

eine vertieft e Prüfung. Die OECD evalu-

iert die Exportkreditversicherungssysteme

der Mitgliedstaaten regelmäßig unter dem

Gesichtspunkt der Korruptionsprävention.

Die deutschen Maßnahmen wurden positiv

bewertet.


Im Osten viel NeuesÜber die dynamische Entwicklung von Compliance in Polen

Der östliche Nachbar Deutschlands verzeichnet in den letzten Jahren einen anhaltenden wirtschaft lichen

Aufschwung. Die junge Marktwirtschaft eines noch vor 26 Jahren sozialistischen Staates mit Zentralver-

waltungswirtschaft verdankt ihre dynamische Entwicklung diverser Wirtschaft s- und Rechtsreformen,

die Schritt für Schritt durchgeführt wurden. Während noch vor kurzem eine expansive Unternehmens-

strategie im Fokus stand, verstärkt sich heute zunehmend das Bewusstsein für eine werteorientierte

Unternehmensführung. Corporate Compliance ist auf dem Vormarsch.


Die Ausgangslage − geprägt durch den Einfl uss internationaler Konzerne

Noch vor kurzem wurde die Entwicklung von Cor-

porate Compliance in Polen größtenteils durch die

Aktivitäten internationaler Konzerne vorangetrie-

ben. In den polnischen Tochtergesellschaft en wur-

den Compliance Management Systeme (CMS) nach

ausländischen Mustern implementiert. Dabei wurde

das Compliance-Verständnis stark vom deutschen

Vorbild geprägt, was nicht zuletzt auf der Tatsache

beruhte, dass Deutschland für Polen der mit Abstand

größte Wirtschaft spartner ist und viele deutsche

Konzerne ihre Niederlassungen in Polen haben. Her-

vorzuheben sei auch die wesentliche Ähnlichkeit bei-

der Rechtssysteme, die ihren besonderen Ausdruck

im Gesellschaft srecht fi ndet. Auch in Polen sind die

Kapitalgesellschaft en nach dem dualistischen System

aufgebaut, was die Wahrnehmung und Aufnahme der

in Deutschland erarbeiteten Lösungen bezüglich der

Kompetenzverteilung innerhalb der Gesellschaft im

Hinblick auf Compliance wesentlich vereinfacht.

Neue Dimensionen der Compliance-Entwicklung

Seit zwei Jahren ist ein neuer Trend der Compliance-

Entwicklung zu beobachten, der zweidimensional

verläuft : Zum einen implementieren auch Unterneh-

men mit polnischem Kapital vermehrt in Compli-

ance Management-Systeme. Gründe hierfür sind die

zunehmenden Herausforderungen einer internatio-

nalen Geschäft swelt, die Erfüllung der Erwartungen

von Stakeholdern und nicht zuletzt die Bestimmun-

gen des neuen Corporate Governance Kodex, der in

der Neufassung vom 1. Januar 2016 erstmals explizit

die Einführung von Compliance Management-Syste-

men in börsennotierten Gesellschaft en empfi ehlt.

Überzeugungsarbeit staatlicher Institutionen sensibilisiert die UnternehmenZum anderen wird die Compliance-Entwicklung maß-

geblich durch die Tätigkeit zentraler Behörden verstärkt.

Während in Deutschland die Vorteile der Einführung

eines Compliance Management-Systems als Instrument

zur Vermeidung von Unregelmäßigkeiten primär von den

Unternehmen geschätzt werden, wird in Polen die Überzeu-

gungsarbeit zur Einführung eines CMS stark seitens staatli-

cher Institutionen geführt. Zu erwähnen ist hier insbesondere

die gemeinsame Erklärung der Zentralen Antikorruptions-

behörde, der Finanzaufsichtsbehörde und der Wertpapier-

börse vom 20. Mai 2014 zur Etablierung und langfristigen

Förderung der Compliance-Kultur in den börsennotierten

Gesellschaft en. Durch dieses Abkommen entstanden zahl-

reiche Tagungen, Workshops und Publikationen, die die

Vorstände und Aufsichtsräte für die Compliance-Th emen

(werteorientierte Unternehmensführung, Compliance-

Zertifi zierung, Whistleblowing, Compliance in öff entlichen

Auft rägen, Korruptionsbekämpfung) sensibilisieren sollten.

Starke Regulierung in der Finanz- und Versicherungsbranche

Traditionell wird Compliance, auch in Polen, stark

mit dem regulierten Finanz- und Versicherungsmarkt

konnotiert. Selbst wenn im polnischen Recht das Wort

„Compliance“ an keiner Stelle erwähnt wird, soll dies

kein Indiz dafür sein, dessen Bedeutung zu vernach-

lässigen: Das Bankenrecht schreibt im Art. 9c Abs.

2 Pkt. 2 vor, dass die Bank im Rahmen des internen

Kontrollsystems eine „Abteilung für Übereinstim-

mung“ zu etablieren hat. Zu deren Aufgaben gehören:

die Identifi kation, Bewertung, Kontrolle und das

Monitoring des Risikos der Nichtübereinstimmung

der Tätigkeit der Bank mit den Rechtsvorschrift en,

den internen Richtlinien und Marktstandards, sowie

die damit verbundenen Vorbereitungen der Berichte.

Es ist eindeutig zu erkennen, dass auf diese Weise

die Erfüllung der Compliance-Funktion in der Bank

beschrieben wird.

Rechtliche Verpfl ichtung zur Einführung von HinweisgebersystemenBemerkenswert ist die Novellierung des Banken-

rechts, infolge derer zum 1. November 2015 erstma-

lig eine rechtliche Verpf lichtung zur Einführung

von Hinweisgebersystemen in Banken eingeführt

wurde. Laut Art. 9 Abs. 2a des Bankenrechts sollen

in der Bank die Verfahren zum anonymen Mel-

den der Verletzungen der Rechtsvorschriften, der

internen Richtlinien und der ethischen Standards

eingerichtet werden. Bedeutend ist, dass Adressat

der Meldungen ein bestimmtes Mitglied der Vor-

stands oder sogar – in besonderen Fällen – der

Aufsichtsrat sein muss. Dabei soll die Bank sicher-

stellen, dass die Bankangestellten, die die Unregel-

mäßigkeiten melden, mindestens vor repressiven

Handlungen, Diskriminierung oder anderen Arten

ungerechter Behandlung geschützt werden. Die

Formulierung des Gesetzes wirft zahlreiche Fragen

auf, die erst mit dem Erlass der Verordnung durch

den Finanzminister beantwortet werden können.

Es ist ferner abzuwarten, wie die Gerichte künftig

in diesen Sachen entscheiden werden.

Empfehlungen der Finanzaufsichtsbehörde zum Internen Kontrollsystem und zur GeschäftsorganisationEine wichtige Rolle im Hinblick auf die Wahrneh-

mung der Compliance-Funktion im Bankwesen

spielen auch die Empfehlungen der Finanzaufsichts-

behörde. Derzeit wird an der Novellierung der sog.

H-Empfehlung gearbeitet, die das Funktionieren des

internen Kontrollsystems (und in dessen Rahmen der

Compliance-Funktion) in der Bank regelt. Darüber

hinaus soll eine neue sog. Z-Empfehlung bezüglich

der Geschäft sorganisation der Bank veröff entlicht

werden. Auch hier werden die Compliance-Fragen

näher behandelt.

Dr. iur. des. Bartosz Jagura, LL.M.

Der Autor ist

wissenschaft licher

Mitarbeiter am

Viadrina Compliance

Center an der Europa-

Universität Viadrina in

Frankfurt (Oder).

GlobalPolen

60

Compliance-Empfehlungen im Corporate Governance Kodex

Über die regulierten Märkte hinaus breitet sich die

Compliance-Entwicklung kontinuierlich branchen-

übergreifend aus. Einen Meilenstein stellt hier die

bereits erwähnte Veröff entlichung der Neufassung

des Corporate Governance Kodex (CGK) dar. Die

Regelungen des CGK beziehen sich auf die börsen-

notierten Gesellschaft en und sind nicht verbindlich.

Vielmehr liegt ihnen das aus ähnlichen Werken

bekannte Comply-or-Explain-System zugrunde.

Compliance ist umfänglich zu verstehenDie wesentlichen Bestimmungen bezüglich Compli-

ance sind im dritten Kapitel des CGK „Interne Sys-

teme und Funktionen“ enthalten. Zwar beschränkt

die grammatikalische Auslegung der Empfehlungen

die Funktionsweise von CMS lediglich auf die Ver-

meidung von Rechtsverstößen, es darf daraus aber

nicht der Schluss gezogen werden, dass die Com-

pliance Management-Systeme für

die Einhaltung anderer als

rechtsverbindlicher Rege-

lungen nicht zustän-

dig sind. Vielmehr

weist das von der

Warschauer

Wertpapierbörse herausgegebene Handbuch zum

CGK darauf hin, dass CMS die Übereinstimmung der

Tätigkeit der Gesellschaft sowohl mit dem geltenden

Recht als auch mit internen Regelungen und freiwilli-

gen Standards sicherstellen soll.

Empfehlungen zur inneren Ausgestaltung der Zuständigkeiten Der Kodex trägt dem Grundsatz der Verhältnismä-

ßigkeit Rechnung: die Implementierung von CMS soll

sich an die Größe und den Gegenstand der Gesell-

schaft , sowie den Umfang ihrer Tätigkeit orientieren.

Dabei wird der Akzent auf die Sicherstellung der

Wirksamkeit von CMS gelegt. Es wird auch empfoh-

len, die Compliance-Funktion innerhalb der Gesell-

schaft zu erfüllen und nicht an externe Dienstleister

zu outsourcen.

Zahlreiche Empfehlungen beziehen sich auf die

innere Ausgestaltung der Zuständigkeiten der einzel-

nen Organe der Gesellschaft im Hinblick auf Compli-

ance. Führende Rolle spielt der Vorstand, der für die

Implementierung und Gewährleistung der Wirksam-

keit von CMS verantwortlich ist. Das Gefl echt von

Zuständigkeiten wird auf der Abbildung dargestellt.

FAZIT

Das noch vor kurzem ausschließlich mit dem

Finanz- und Versicherungssektor gekoppelte

Management von Compliance-Risiken wird

mittlerweile auch in Polen branchenüber-

greifend zum Standard der bewussten und

werteorientierten Unternehmensführung. Die

dynamische Entwicklung von Compliance ist

sehr deutlich anhand der Neufassung des CGK

zu sehen. Der Kodex enthält Empfehlungen, die

einen innovativen Charakter haben und umfas-

send die Verwirklichung der Compliance-

Funktion in der Gesellschaft regeln.

Global Polen


Zur Vertiefung:

Der polnische Corporate Governance Kodex ist unter https://static.gpw.pl/pub/fi les/PDF/RG/DPSN2016__GPW.pdf abrufbar.

PDF

Hau

ptve

rsam

mlu

ng

Auf

sich

tsra

t

Vors

tand

CMS

Com

plia

nce

Offi

cerLegt der

Hauptversammlung ein Mal im Jahr die

Bewertung der Wirksamkeit von CMS

vor (II.Z.10.1)

Stellt dem Aufsichtsrat ein Mal im Jahr

die Bewertung der Wirksamkeit von CMS

vor (III.Z.4)

Vorläufi ge Kontrolle der Wirksamkeit von CMS (III.Z.5)

Möglichkeit zur Berichterstattung unmittelbar an den Aufsichtsrat oder Prüfungsausschuss (III.Z.2)

Unterstellt unmittelbar dem Vorstandsvorsitzenden

oder einem anderen Mitglied des Vorstands (III.Z.2)

Verantwortlich für Implementierung und Gewährleistung

der Wirksamkeit von CMS (III.Z.1)

Abbildung: Die Compliance-Organisation nach dem polnischen CGK

© S

imeo

nVD

– is

tock

phot

o.co

m


Compliance Made in Czech Republic Das Verständnis und die Entwicklung von Compliance in der Tschechischen Republik

Die aktuelle Fassung des Gesetzes zur „Strafrechtlichen Verantwortung von juristischen Personen“ ist

durch signifi kante konzeptuelle Veränderungen geprägt und bringt neue Herausforderung für Compli-

ance Management-Systeme (CMS) der Unternehmen mit sich, die in der Tschechischen Republik ihren

Sitz haben. Was ändert sich konkret und was sollten Compliance Manager besonders beachten?

Der Anfang1

Der tschechische Gesetzgeber hat sich bei der Konzipie-

rung des Gesetzes zur Strafrechtlichen Verantwortung

von juristischen Personen2 (JurPStGB) von verschie-

denen anderen Gesetzen inspirieren lassen, doch der

stärkste Einfl uss kam vom UK Bribery Act, welches

2010 in Großbritannien in Kraft getreten ist. Leider

wurde das JurPStGB unter dem Zeitdruck seitens ver-

schiedener internationaler Verpfl ichtungen bearbeitet

und verabschiedet ohne einen richtigen und tiefgehen-

den konzeptuellen Exkurs in den bestehenden rechtli-

chen Rahmen einzubeziehen, den es eigentlich ergänzen

sollte. Das Resultat ist erstaunlich: Zum einen enthält

das neue Gesetz 80 verschiedene für Unternehmen

relevante strafrechtliche Tatbestandsmerkmale. Zum

anderen bewirkte die fehlgeschlagene Anbindung des

Gesetzes an die übrigen bestehenden Gesetze und das

gesetzliche Rahmenkonzept, dass ein Eindruck ent-

stand, die Reform wurde unvorbereitet durchgeführt.

Diese Situation führte zu einem Paradoxon, denn

die rechtliche Verantwortung von juristischen Per-

sonen ist mit dem Gesetz deutlich erweitert worden.

Die beschriebenen Umstände verursachten aber auch,

dass das Gesetz von den Unternehmen kaum wahrge-

nommen wurde. An der Tatsache vermochten auch die

wenigen Aufk lärungsaktionen der Regierung nichts zu

ändern. Es fehlten sowohl ausführende Vorschrift en, als

auch weitere Richtlinien oder Hinweise des Justiz- oder

Innenministeriums zum Umgang mit dem Gesetz.

Die Reform führte somit zur Erweiterung der Unter-

nehmenshaft ung auf die strafrechtliche Verantwortung.

Aktuell erstreckt sich daher die Haft ung von Unterneh-

men in Tschechien auf alle drei Rechtsgebiete:

Zivil- und handelsrechtliche Haftung

Öffentlich-rechtliche Haftung für Ordnungswidrigkeiten

Strafrechtliche Haftung für natürliche Personen, die mit dem

Unternehmen verbunden sind

Generell liegt dem tschechischen Gesetz das „Modell der

vollumfänglichen strafrechtlichen Haft ung der juristi-

schen Person“ zugrunde, wonach die volle Verantwor-

tung bei der Gesellschaft liegt und dies zu erheblichen

Sanktionen und anderen Maßnahmen führen kann.

Zlata Kunesova

Die Autorin ist Mitglied

im Executive Board

der Czech Compliance

Association.

GlobalTschechische Republik

62

Global Tschechische Republik


Wesentliche Neuerung: Erweiterung der Anwendung und Belohnung der Compliance!Die aktuellste und hier behandelte Gesetzesfassung

(Gesetz Nr. 183/2016 Slg.) wird am 1.12.2016 in Kraft

treten. Für die Compliance-Verantwortlichen ist es

daher jetzt schon an der Zeit, entsprechende Vorbe-

reitungen zu treff en.

Die wesentlichen Neuerungen können in zwei Grup-

pen eingeteilt werden:

Zum einen wird der Anwendungsbereich der

strafrechtlichen Verantwortlichkeit juristischer

Personen wesentlich erweitert.

Zum anderen wird die Möglichkeit vorgesehen,

dass von der Sanktionierung abgesehen wird,

wenn Unternehmen den Nachweis interner

Implementierung von wirksamen Präventiv-

maßnahmen zur Vermeidung von Vergehen

erfolgreich führen.

Zur Haftungserweiterung

Die Konzeption der alten Gesetzesfassung basierte

auf einer vollständigen (erschöpfenden) Liste von

80 Straft aten, für welche juristische Personen

strafrechtlich zur Verantwortung gezogen werden

konnten. Die aktualisierte Fassung sieht in § 7 eine

neue Methode der Aufl istung vor: Danach kann

eine juristische Person für alle (!) Straft aten nach

dem Strafgesetzbuch zur Haft ung herangezogen

werden. Ausgeschlossen sind jedoch solche Straf-

taten, die ihrem Wesen nach durch eine juristische

Person nicht begangen werden können (z.B. Mord

oder Körperverletzung). Durch den Verzicht auf den

positiven und geschlossenen Katalog der Straft aten

zugunsten der Negativbestimmung ist der Katalog

wesentlich erweitert worden.

Zur Möglichkeit der Enthaftung

Nach der alten Bestimmung des Gesetztes (§ 8 Abs.

2b) haft et die juristische Person für die Handlungen

von einem Mitarbeiter nicht, wenn sie alle Präven-

tions- und Kontrollmaßnahmen implementiert hat,

die einerseits einer juristischen Person rechtlich

zumutbar und andererseits erforderlich sind oder die

nach besonderen Vorschrift en implementiert werden

müssen. Nach dem alten Gesetz wurde ein Unterneh-

men bestraft , wenn solche notwendigen Kontrollen

nicht ergriff en, Straft aten nicht verhindert oder die

durch sie verursachten Schäden nicht abgewendet

wurden. Durch die Reform wird die Enthaft ung von

sowohl Organ- und Führungsmitgliedern, als auch

der juristischen Person selbst auch dann möglich,

wenn eff ektive Compliance Management-Systeme

nachwiesen werden. Eine solche Möglichkeit ist im

neuen § 8 Abs. 5 vorgesehen, der für die Enthaft ungs-

möglichkeit die Implementierung von wirksamen

Präventivmaßnahmen voraussetzt.

Anwendung der neuen Regelung in der Praxis

Da bisher weder ausführende Vorschrift en noch

entsprechende Richtlinien oder Leitfäden erlassen

wurden, führt die Reform zu einer erheblichen Unsi-

cherheit in der Praxis. Es ist insbesondere nicht klar,

was das Gesetz unter der Voraussetzung der „Präven-

tionsmaßnahmen“, oder unter „rechtlich (zumutbar)

erforderliche Maßnahmen“ versteht. Dies führt zu

der Situation, dass die weniger mit Compliance ver-

trauten inländischen Unternehmen das Gesetz nicht

umsetzen, während Unternehmen mit ausländischem

Kapital in der Regel die im Ausland implementierten

und bewährten (teils zertifi zierten) CMS in Tsche-

chien umgesetzt haben.

Die lokalen Gesellschaft en tappen zumeist im

Dunkeln und können sich nur auf Erfahrungen von

internationalen Gesellschaft en oder auf Beispiele der

internationalen Normen wie die ISO 19600, die öster-

reichische ONR 192050 oder die FCPA stützen.

Wegen der oben genannten Gründe ist es in diesem

Zusammenhang nicht überraschend, dass die lokalen

Unternehmen in der überwiegenden Mehrheit keine

Präventions- und Kontrollmaßnahmen implemen-

tiert haben, die darauf abzielen, ihre strafrechtliche

Verantwortlichkeit zu vermeiden oder zu verhindern.

Bei den wenigen, die es getan haben, beschränken

sich die Maßnahmen in der Regel auf die Einführung

von formalen Verhaltenskodizes.


GlobalTschechische Republik

Gefahren der Reform

Neben den Schwierigkeiten in der Umsetzungspraxis

birgt die Reform möglicherweise weitere Gefahren

in sich. Einerseits bringt die Einführung einer mög-

lichen Befreiung von der Strafb arkeit eine grundle-

gende Stärkung der Compliance-Bedeutung, weil sie

eine deutlichere rechtliche Unterstützung und einen

konkreten praktikablen Sinn erhält. Es ermöglicht

einer juristischen Person in dem Fall einer Beschuldi-

gung sich zu verteidigen, wenn sie ein eff ektives CMS

nachweisen kann. Es ist aber auch möglich, dass das

neue Gesetz von den Gesellschaft en missbraucht wird

und die Verantwortung von der juristischen Person

auf ein Individuum geschoben wird. Die Gerichte

werden jeweils prüfen müssen, inwieweit die Unter-

nehmen alle Anstrengungen unternommen haben,

welche erforderlich waren, um die Tat zu verhindern,

und ob hierzu die Erstellung eines Verhaltenskodexes

ausreichend ist.

Verschiedene Organisationen in der Tschechischen

Republik widmen sich der Th ematik, u.a. auch die

Tschechische Compliance Assoziation, deren Auf-

gabe in der Förderung des Compliance-Berufs und in

der Unterstützung der Umsetzung von Compliance

als Bestandteil des Kontrollsystems der Verwaltung

von Unternehmen und Organisationen in der Tsche-

chischen Republik besteht.

FAZIT

Die aktuelle Fassung des Gesetzes zur „Straf-

rechtlichen Verantwortung von juristischen

Personen“ erweitert nicht nur den Katalog der

potenziellen Straft aten, für die Unternehmen

haft en können. Der Gesetzgeber verfolgt damit

auch die bereits aus anderen Ländern bekannte

Konzeption der Belohnung von Compliance-

Bemühungen. Sind Unternehmen im Falle

eines Verstoßes in der Lage, einen erfolgreichen

Beweis der internen Umsetzung von erforder-

lichen Präventionsmaßnahmen zu führen,

so kann dies zur Enthaft ung führen. Zwar ist

das Konzept zu begrüßen, denn damit wird

die Compliance-Kultur gefördert, doch ver-

ursachte der Gesetzgeber zugleich eine große

Unsicherheit, denn es fehlen weiterhin Hin-

weise und Richtlinien, die verdeutlichen, was

als „erforderliche Präventionsmaßnahmen“ zu

verstehen ist.

1 88351. Die Strafb arkeit der juristischen Personen in der "Year

One" aus der Compliance Perspektive, 6.2.2013 EPRAVO.CZ

JUDr. Pavel Koukal (Rödl & Partner).

2 Gesetz Nr. 418/2011 Slg. Die strafrechtliche Verantwortlich-

keit juristischer Personen und Verfahren gegen sie.

www.dico-ev.de

Wir unterstützen Sie bei der Gestaltung guter Unternehmensführung!

DICO – Deutsches Institut für Compliance e.V.

Regeln einsetzen um Regeln zu brechenWie Compliance instrumentalisiert und missbraucht werden kann

Huhn oder Ei, Regel oder Regelbruch – was war zuerst da? Ganz sicher ist beides untrennbar mitein-

ander verbunden. Compliance Management-Systeme (CMS) beschäft igen sich intensiv mit der Vermei-

dung von Regelverletzungen. Dazu formulieren sie neben den unzweifelhaft erforderlichen Regelwerken

auch die entsprechenden Sanktionen. Neu ist die Erfahrung, dass Complianceregeln selber zur Regel-

verletzung eingesetzt werden, um Sanktionen, die persönlichen Interessen dienen, zu provozieren. Viel-

leicht wurde in der Vergangenheit ja das schwächste Glied beim Th ema Compliance – der Mensch mit

seiner Fantasie und Fähigkeit zum Regelbruch – zu einseitig betrachtet …


Die Gefahr aus den eigenen Reihen

Eine erste Idee, wer das schwächste Glied in jedem

noch so perfekten CMS sein könnte, gibt uns die in

Fachkreisen häufi g zitierte forensische Studie der

Beratungsgesellschaft KPMG zum Th ema Wirt-

schaft skriminalität in Deutschland, die seit Jahren zu

eindeutigen Ergebnissen kommt: Gerade die, denen

wir besonders vertrauen, sind oft unsere größten Geg-

ner oder aus Compliancesicht die größten Übeltäter.

Denn der typische Wirtschaftskriminelle ist ein „Innentäter“:

Mitte 50Männlich Mindestens 6 Jahre in der OrganisationAusgesprochen respektiert und freundlich

Zwei Drittel aller Wirtschaftsdelikte werden von diesen sogenannten Innentätern begangen, häufi g eben von diesen sympathischen und vertrauenerweckenden Herren, die zudem in der Hierarchie weit oben stehen und daher auch noch unbeschränkte Autorität genießen. Aufgrund ihrer Stellung im Unternehmen haben diese Innentäter meist an den Compliance-Mechanismen mitgear-beitet und wissen deshalb nur zu gut, wie diese auszuhebeln sind. Vereinfacht formuliert kann der, der mit der Kontrolle von Regeln und möglichen Sanktionen vertraut ist, mit geringerem Risiko Regeln brechen als der, der sich in diesem Dickicht nicht auskennt. Ein Beispiel aus dem Privatleben zeigt den Nutzen von Insiderwissen: Nach einer alkoholreichen Zechtour wird der Autofahrer die Strecke nach Hause nehmen, von der er als Ortskundiger weiß, dass dort keine Polizeikont-rolle stattfi ndet. Er wird nicht sanktioniert, was seine Alkoholfahrt nicht weniger schlimm macht. Funktioniert auch ohne Alkohol: Der zu schnell fahrende Autofahrer fährt dort langsamer, wo er um die stationären Blitzgeräte weiß – ist er vorbei, gibt er wieder Gas.

Vertrauensfalle

Es gibt insgesamt eine fast naive Risikowahrneh-

mung, was die Bedrohung durch Wirtschaft skrimi-

nalität in Deutschland angeht. Bei einem jährlichen

Schadenvolumen im zweistelligen Milliardenbereich

alleine in Deutschland ist es beinahe schon fahrlässig,

blindes Vertrauen in sympathische, vertrauensvolle

und langjährige Mitarbeiter zu stecken. Vor allem

kleine und mittelständische Unternehmen, wo die

Beziehungen häufi g noch persönlicher sind, laufen in

diese gefährliche Vertrauensfalle.

Zurück zum Th ema Instrumentalisierung von

Compliance, von der Regel als Mittel zum Regelbruch.

Wir reden hier von einem sehr intelligenten und

trickreichen Verhalten, von Täuschung, von Agieren

im Verborgenen und auch vom Einsatz moderner

Medien in einer virtuellen Welt. Dazu zunächst drei

Beispiele:

Beispiel: 1

Regel: Sei als Vorstand Vorbild, halte Dich

an Verträge und nutze den Firmenjet nur wie

vereinbart!

Regelbruch: Das Mitglied des SAP-Vorstands

Angelika Dammann tritt im Juli 2011 zurück,

nachdem ihr eine private und damit nicht

rechtmäßige Nutzung des Firmenjets vorge-

worfen wurde.

Regelinstrumentalisierung: Kurz nach ihrem

Rücktritt erwiesen sich die Vorwürfe als gegen-

standslos. Die Nutzung des Firmenjets war

ihr im kritisierten Zusammenhang sogar aus-

drücklich zugesichert worden. Den Rücktritt

vom Rücktritt gab es nicht, es waren Tatsachen

geschaff en worden. „Allerdings wird gemun-

kelt, dass die Flieger-Aff äre nur den aktuellen

Anlass, aber wohl nicht den einzigen Grund für

Dammanns Abgang lieferte“ (Spiegel-Online

vom 8.7.2011). Hat da jemand um die explo-

sive öff entliche Wirkung des Th emas gewusst,

diese Karte absichtlich gespielt und von Anfang

an nur eines gewollt – den Rücktritt von Frau

Dammann und nicht die ordnungsgemäße

Nutzung des Firmenjets?

Beispiel: 2

Regel: Übernehme als Präsident Verantwor-

tung und stehe Ermittlungen nicht im Wege!

Regelbruch: Auch Vereine haben Vorstände

bzw. Präsidien, so auch der ADAC. Der

ADAC-Präsident Peter Meyer trat infolge des

Skandals um die Manipulation des ADAC-Au-

topreises „Gelber Engel“ am 10. Februar 2014

zurück.

Regelinstrumentalisierung: Meyer hat mit

seinem Rücktritt Verantwortung für etwas

übernommen, was er selber nicht getan hat,

denn verantwortlich war zunächst einmal der

Pressesprecher, der ja ebenfalls zurücktrat.

Pikant sind in diesem Fall die Hintergründe.

Um deutlich zu machen, dass der ADAC im

Übrigen ein reines Gewissen hat und vor allem

einer vollständigen Aufk lärung der Vorwürfe

Kritik

Berthold Krüger

Der Autor ist Wirt-

schaft spsychologe und

berät bundesweit sowohl

Unternehmen als auch

Unternehmensberatun-

gen bei Fragen rund um

die Th emen Organisati-

onsentwicklung, Change

Management und

Compliance.

Psychologie


nicht im Wege stehen wolle, schlug Meyer

dem übrigen Präsidium einen geschlossenen

Rücktritt vor („…um die Bahn für rückhalt-

lose Aufk lärung frei zu machen…“, so das

Gedächtnisprotokoll eines Teilnehmers). Nach

der Aufarbeitung der Krise sollte sich das

gesamte Präsidium zur Wiederwahl stellen, so

der Vorschlag Meyers. Natürlich gab es für nie-

manden im Präsidium eine Garantie für eine

spätere Wiederwahl auf die äußerst lukrativen

Präsidiumsposten. Das Präsidium lehnte die-

sen Vorschlag daher ab. Kurze Zeit später stieg

die Zahl der kritischen Medienberichte über

den ADAC stark an, der öff entliche Druck auf

den ADAC und auf Meyer wuchs enorm. Der

Presse teilte der ADAC daraufh in mit: „Ange-

sichts der aktuellen Vertrauenskrise und der

erschütternden Ergebnisse der aktuellen Kri-

senaufarbeitung habe das ADAC-Präsidium

…ein Suspendierungsverfahren gegen Meyer

beschlossen.“ Kurz darauf beugte sich Meyer

dem öff entlichen Druck und trat zurück – das

übrige Präsidium aber blieb weiterhin im Amt.

Nach seinem Rücktritt erwiesen sich die vielen

kleinen Vorwürfe allesamt als überzogen oder

gegenstandslos. Ein Schuft , wer hier an Intrige

oder die Instrumentalisierung von Regeln und

Öff entlichkeit denkt!

Beispiel: 3

Regel: Schuster bleibe bei deinen Leisten oder

Vorstandsvorsitzender, manipuliere nicht die

Märkte!

Regelbruch: Ex-Porsche-Chef Wendelin Wie-

deking musste sich dem Vorwurf der Markt-

manipulation stellen. Ein im Vergleich zu den

beiden ersten Beispielen extrem schwerwiegen-

der Vorwurf, vor allem mit Blick auf die damit

verbundenen Schäden und Konsequenzen.

Regelinstrumentalisierung: Das bei diesem

Kaliber der Regelverletzung die Justiz aktiv

wird, ist nachvollziehbar. Aber war es wirklich

ein solches Kaliber? Am Ende eines aufwän-

digen Prozesses kann man nur mit dem Kopf

schütteln. Denn das Landgericht Stuttgart

hat Wiedeking im März 2016 vom Vorwurf

der Marktmanipulation freigesprochen. Was

in einem Rechtsstaat selbstverständlich mög-

lich sein sollte – Niederlage der Anklage, Sieg

des Beklagten – mutet in der Begründung

des Landgerichts sehr abenteuerlich an. Wie-

deking wurde aus Sicht des Gerichts „ein-

deutig“ freigesprochen, verbunden mit einer

massiven Kritik an der Staatsanwaltschaft .

An deren Vorwürfen sei nichts dran, „weder

vorne, noch hinten, noch in der Mitte“, so der

Vorsitzende Richter Frank Maurer (SZ vom

18.3.2016). Wie wenig reicht eigentlich der

Justiz aus, um ein solches Mammutverfahren

von sechs Jahren vom Zaun zu brechen? Wie

ist es denn zum Anfangsverdacht gekommen,

wer hat dort welche Informationen platziert?

Off ensichtlich war da ja wenig bis nichts dran,

es hat aber gereicht, um einen deutschen Spit-

zenmanager zum Rücktritt zu bringen und

seine Reputation schwer zu beschädigen.

Öffentlicher Pranger oder geschickte Inszenierung?

Wer im Einzelnen schuldig oder unschuldig ist, darüber

entscheiden in einem Rechtsstaat Gerichte. Und in den

meisten Fällen dürft en diese mit ihren Urteilen auch

richtig liegen. Das Problem liegt woanders. Gerichtsur-

teile sind nichts mehr wert, wenn die eigentliche Strafe an

anderer Stelle vollzogen wird. So sind die hier genannten

Beispiele zusammen mit den unzähligen ungenannten

auch ein Lehrstück über die Gnadenlosigkeit des öff ent-

lichen Prangers. Es ist ein schwer erträglicher Zustand,

dass die bloße Äußerung eines Verdachts, medial gut

verbreitet, eine unumkehrbare Entwicklung hervor-

rufen kann – selbst nach später erwiesener Unschuld.

Besonders perfi de wird das Ganze übrigens, wenn der

Beschuldigte selber hinter den Anschuldigungen steckt.

Denn mit einem gut dotierten Vertrag im Rücken,

einem schnellen Rücktritt nach dem öff entlichen Auf-

schrei der Empörung, um „Schaden vom Unternehmen“

zu nehmen und einer anschließenden guten Abfi ndung

lässt es sich ganz hervorragend leben, vor allem wenn

sich später die eigene Unschuld herausstellt und man

voll rehabilitiert wird. Aber das wusste man ja schon

vorher, schließlich hat man das Ganze ja auch selber

eingefädelt …

Compliance erfolgreich instrumentalisierenListig eingebunden sind in all diese Szenarien verschie-

dene Formen der Öff entlichkeit, ohne die es nicht geht.

Dazu gehören vor allem schlagzeilenhungrige Medien,

aber auch Ermittlungs- und Strafverfolgungsbehörden

oder Complianceverantwortliche (die bei bestimmten

Informationen einfach reagieren müssen, ebenso wie

beispielsweise Betriebsräte). Mit diesem Aufwand wird

sicher nicht um einen Sachbearbeiterjob gebuhlt. Hier

reichen kleinere Kaliber, um Compliance erfolgreich

zu instrumentalisieren. Spesenabrechnung, Tankquit-

tungen, privater Einsatz von Betriebsmitteln, der Vor-

wurf der Belästigung– schnell sind auch hier Gerüchte

um Complianceverfehlungen gestreut. Aber hier

steht nicht der Regelbruch im Vordergrund, sondern

die erwünschte Konsequenz der Sanktion – weg mit

dem Nebenbuhler und zack, her mit der freien Stelle.

Die Abgrenzung zum „einfachen“ Mobbing ist hier

fl ießend.

Kritik Psychologie


Haben Intrige und Mobbing in Compliance ein neues Werkzeug gefunden? Diese bewusst rhetorisch formulierte Frage ist eindeu-

tig mit ja zu beantworten. Gerade wenn Compliance

als Legal Compliance Management System eingesetzt

wird und auf die Einhaltung von nationalen wie

internationalen Gesetzen, Vorschrift en, freiwilligen

Selbstverpfl ichtungen sowie internen Richtlinien

zielt, entsteht ein Dickicht von Regeln, das auch mit

gutem Willen kaum zu überblicken ist. Jeder wird

früher oder später gegen eine dieser Regeln versto-

ßen, selbst ohne Absicht. Wir sind Menschen, keine

Maschinen, für uns gilt immer noch die Aussage:

„Wer arbeitet, hat ein Recht auf Fehler!“ Wenn dann

eine 100%-Linie gefahren wird mit kompromisslosen

Restriktionen – übrigens eine Härte, die selbst unser

BGB oder StGB so nicht kennt – dann kann jederzeit

ein Restriktionsmechanismus angestoßen werden.

Wird dieser unterfüttert mit der Involvierung von

Öff entlichkeit oder Justiz, ist selbst bei Unschuld eine

vorverurteilende Sanktion bis hin zum Jobverlust,

wie geschildert, kaum noch zu vermeiden. Veröff ent-

lichter Regelbruch gehört zu den stärksten und vor

allem erfolgreichsten moralischen Druckmitteln, die

wir kennen.

Digitalisierung und Anonymität erhöhen auch die Missbrauchsgefahr Bekannt werden meist nur die prominenten Beispiele,

es bleibt der wissenschaft lichen Aufarbeitung vor-

behalten, Licht in die Dunkelziff er missbräuchlich

inszenierter Complianceverfehlungen zu bringen –

in allen gesellschaft lichen und politischen Ebenen.

Das Agieren im Dunkeln ist dabei ein interessantes

Stichwort. Vieles in unserem Leben ist mittlerweile

digital und virtuell. Die damit verbundene Anony-

mität ist ein idealer Nährboden sowohl für Regel-

brüche (Non-Compliance-Verhalten) als auch für die

Unterstellung derselben. Der heute Whistleblower

genannte Verbreiter von anonymen Informationen

wird in seiner Wirksamkeit von der digitalen Welt

massiv unterstützt. Eine Zeitungsredaktion oder ein

Betriebsratsbüro muss heute nicht mehr betreten wer-

den, um dort Informationen zu platzieren, per ano-

nymer Mail geht das viel schneller. Desinformation

ist im digitalen Zeitalter schneller und leichter prak-

tizierbar als früher und zudem befreit von der Not-

wendigkeit einer regionalen Präsenz. Das Paradoxe

daran: Die Ursachen kommen aus dem Verborgenen

und werden digital transportiert, die Konsequenzen

sind dagegen real. Denn wir ärgern uns noch immer

analog und in echt. Ändern wird sich das so schnell

nicht, denn wir Menschen haben gelernt, mit Wider-

sprüchen zu leben. So lieben wir den Verrat (weil er

mir Vorteile bringt), aber nicht den Verräter (weil

er auch mich verraten könnte). Im Rahmen unserer

neutralen und freien Presse heißt das dann „Quel-

len- und Informantenschutz“. Eine Schutzregel, die

der Autor ausdrücklich gutheißt. Aber eben auch die

nächste Regel, die regelmäßig zum Regelbruch ver-

führt – wegen der Anonymität und dem Verbleib im

Dunkeln.

Kritik

FAZIT

Die missbräuchliche Nutzung von Regel-

werken zum persönlichen Nutzen ist als

Methode sicherlich so alt wie die Mensch-

heit, was diese Art der Nutzung natürlich

nicht besser macht, sie bleibt unehrlich und

hinterhältig. Deshalb muss aufmerksam

gemahnt werden, wenn diese Vorgehens-

weise sich eines neuen Th emas, nämlich der

Compliance, bedient. Und neben der Mah-

nung sollten vor allem Gegenmaßnahmen

skizziert werden, die den Compliancemiss-

brauch entlarven können.

Deshalb hier zwei Tipps zur Vermeidung

von Compliancemissbrauch:

1 Für die zu Unrecht Beschuldigten

Keine Angst vor Öffentlichkeit: Die wichtigsten Schutzmechanis-men sind ähnliche wie die beim Mobbing – Öffentlichkeit her-stellen, involvierte Personen und Hintergründe offensiv benennen. (Anregungen z.B. in Meike Mül-lers Buch: „Lizenz zum Kontern“)

2 Für alle Beteiligten

W-Fragen stellen: Sich nichtsofort blindwütig auf die Infor-mation und auf den stürzen, um den es geht, sondern sich erst einmal mit dem Überbringer der Nachricht beschäftigen und sich dabei einige wichtige „W-Fragen“ stellen.

Warum diese Information jetzt?

Welchen Vorteil könnte der Überbringer persönlich haben?

Wer kann von den zu erwar-tenden Konsequenzen in welcher Weise profi tieren?

usw.

Also immer über die Information bezüglich einer Complianceverfehlung hinaus denken, nicht nur an die Verfeh-lung selber! Das macht die Aufarbeitung nicht leichter, aber manchmal ehrlicher.

Psychologie

Forum


unternehmerischen Tuns ist, war das einheit-

liche Resümee der Runde: Nur so könne sich

die Compliance eines Unternehmens zum

Wettbewerbsvorteil entwickeln.

Nach der Podiumsdiskussion wurde den

über 230 Teilnehmern die Gelegenheit gebo-

ten, aus 14 Themenschwerpunkten heraus

Workshops, Vorträge und Praxis-Cases zu

besuchen.

Der Verbesserung der Informationsversor-

gung im Aufsichtsrat hat sich der Arbeitskreis

„Aufsichtsrat & Compliance“ um Prof. Dr. Sie-

pelt in Form des Praxis-Cases „Was muss der

Aufsichtsrat wann wissen?“ gewidmet. Mittels

aktueller „Good and bad practices“-Beispielen

aus der Wirtschaft wurden im Rahmen des

Workshops Fälle aufgegriffen, die zahlreiche

Ansatzpunkte zur Effektivitätssteigerung im

Rahmen der Informationsaufbereitung für

die Steuerungsgremien lieferten.

Collective Action, die Zusammenarbeit

mit anderen Firmen oder weiteren relevanten

Akteuren wie dem Staat und der Gesellschaft,

„Compliance – Integrität, Leadership und wirtschaftliche Erwartungen“

Der zweite Tag des DICO FORUMs begann

mit der Podiumsdiskussion unter der Mode-

ration von Dr. Thomas Lösler, Chief Com-

pliance Officer der Allianz SE. Hier nahmen

Otto Geiß, Leiter Compliance, Werte- und

Risikomanagement bei der Fraport AG, Prof.

Dr. Stephan Grüninger, Wissenschaftlicher

Direktor des Konstanz Institut für Corpo-

rate Governance, Dr. Anna-Maija Mertens,

Geschäftsführerin Transparency Deutsch-

land e.V. und Oliver Wieck, Generalsekretär

der internationalen Handelskammer (ICC)

Deutschland Stellung zum Thema: „Compli-

ance in der Klemme? – Integrity, Leadership &

Performance“. Dass Compliance ohne Ethik

auf Dauer nicht funktioniert und neben dem

handwerklichen Teil eines CMS Compliance

auch daran arbeiten muss, dass Ethik und

Moral der tiefere Kern der Motivation des

„Führen und Dirigieren“

Das diesjährige, dritte DICO Forum Compli-

ance wurde eingeläutet mit einer Keynote des

bekannten Dirigenten und ehemaligen Ber-

liner Philharmonikers, Prof. Gernot Schulz.

Unter dem Titel „Dirigieren und Führen“

wurde über den Bezug aus der orchestralen

Zusammenarbeit auf nahezu spielerische

Weise dargestellt, welchen Einfluss die

transparente, vertrauensbasierte Wertever-

mittlung durch Führungspersonen besitzt.

Eine gleichermaßen ungewöhnliche wie

eindrucksvolle Sicht auf das Thema „Füh-

rung“ wurde dem interessierten Publikum so

sehr eindeutig und multimedial anhand von

diversen Beispielen aus der musikalischen

Zusammenarbeit dargestellt. Am Ende des

ersten Tages wurde so dem Motto „Leader-

ship“ Rechnung getragen und auf die offene

und präzise Führung von Teams unter dem

Aspekt der Vermittlung gemeinsamer Werte

eingegangen.

3. DICO FORUM Compliance 201619 Themenschwerpunkte, über 30 Referenten, 2 Keynotes sowie eine Podiumsdiskussion mit bekannten nationalen und

internationalen Teilnehmern. Am 31. Mai und 1. Juni 2016 fand im Humboldt Carré das 3. DICO FORUM Compliance des

DICO – Deutsches Institut für Compliance e.V. statt. Leitthema der diesjährigen Veranstaltung war „Compliance – Integrität,

Leadership und wirtschaftliche Erwartungen“. Die über 230 Teilnehmer konnten zahlreiche Workshops, Praxis-Cases und

Vorträge besuchen, um über die jeweiligen Themenschwerpunkte zu diskutieren und wichtige Informationen für ihren

beruflichen Alltag mitzunehmen.


eignet sich für international agierende Unter-

nehmen optimal, um den branchenüber-

greifenden Herausforderungen wie z.B. Due

Dilligence, Geschäft spartnercompliance und

Korruptionsbekämpfung zu begegnen.

Zusammen mit Gemma Aiolfi vom dem

Basel Insitute on Governance beschrieben die

Unternehmensvertreter Meinhard Remberg

und Georg Gößwein anhand eigener Erfah-

rungen den Weg zum „Level Playing Field“

und gaben den Teilnehmern eine Übersicht

über die bereits existierenden Aktionsbünd-

nisse sowie zahlreiche praktische Tipps und

Tricks mit auf dem Weg, auf welche Kriterien

Unternehmen zu achten haben, wenn man

mit dem Gedanken spielt, sich ebenfalls

einem solchen „Pakt“ anzuschließen.

Der neue DICO Arbeitskreis „Digitale

Transformation“ zeigte in seinem Workshop

„Compliance Red Flags mit Datenanalyse

auffi nden“ anhand von praktischen Beispielen

das Auffi nden von Fraud-Mustern in unter-

schiedlichen Datenquellen und die geeignete

Visualisierung der Ergebnisse. Da hier in der

Regel personenbezogene Daten verarbeitet

werden, sind einige organisatorische und

technische Hausaufgaben zu erledigen, die

aber schon lange kein Hexenwerk mehr sind

und die Unternehmen nicht von Datenanaly-

sen abhalten sollen.

Der Arbeitskreis „Kartellrecht“ stellte in

seinem Workshop „Kartellrechtliche Compli-

ance“ die kürzlich veröff entlichte DICO-Leit-

linie „Kartellrechtliche Compliance“ sowie

das zugehörige Beispiel-Regelwerk („Do’s &

Don’ts“) vor. Bei dem Regelwerk handelt es

sich um ein Co-Produkt von DICO und dem

Bundesverband für Materialwirtschaft , Ein-

kauf und Logistik e.V. (BME). Wesentliches

Durchsuchungsmaßnahmen vorbereiten

können und wie Fehler im Ernstfall vermie-

den werden. Techniken der Deeskalation, die

Kommunikation mit Ermittlungsbehörden,

der IT-Datenzugriff und der Umgang mit

Journalisten wurden ebenso behandelt wie

Verhaltensmaßregeln bei Durchsuchungen

ausländischer Ermittlungsbehörden.

„Zero Tolerance versus Amnestie“ lautete

der Praxis-Case des Arbeitskreises „HR“.

Dabei wurden die Fragestellungen „Welche

Zielkonfl ikte entstehen typischerweise, wenn

eine Zero-Tolerance-Politik als zunächst kla-

res Statement zu einer Compliance-Kultur

ausgerufen wurde?“ und „Kann die Glaub-

würdigkeit einer Unternehmenskultur stand-

halten, wenn behördliche Ermittlungen anste-

hen und die Aussagebereitschaft von Mitar-

beitern davon abhängig ist, dass diese z.B. ein

Amnestieprogramm als Schutz vor Sankti-

onen erwarten?“ aufgeworfen. Im Rahmen

einer Fallstudie, die fachlich vom Arbeitskreis

„Kartellrecht“ unterstützt wurde, wurde he-

rausgearbeitet, wie unter anderem Kronzeu-

genanträge zielführend für alle Beteiligten zu

behandeln sind.

Compliance im Datenschutz betrifft die

unterschiedlichsten Bereiche. Gerade bei der

Entwicklung, im Marketing und Sales wird

dies immer wieder deutlich. Potenzial, Risiken

und technische Anforderungen neuer Tools

und Dienstleistungen werden bis ins Detail

ausgearbeitet, die Rahmenbedingungen des

Datenschutzes aber häufi g zu spät bedacht.

Barbara Scheben Leiterin des Arbeitskreises

„Datenschutz“ erarbeitete daher im Rahmen

des Workshops „Privacy by Design? – Ich

will doch nur eine App!“ zusammen mit den

Teilnehmern, wie Datenschutz-Compliance

Ziel beider Dokumente ist es, Unternehmen

– vor allem kleinen und mittelständischen

Unternehmen – Hilfestellung bei der Errich-

tung und Fortentwicklung ihrer kartellrecht-

lichen Compliance-Programme zu geben.

Im Praxis-Case „Sportsponsoring“ zeigte

Dr. Carolin Spindler von der Deutschen

Telekom AG den Teilnehmern aus dem Daily

Business des Sportsponsorings zahlreiche

Maßnahmen zur Minderung von potenziellen

Compliance-Risiken beim Sponsoring auf.

Die Chancen und Risiken wurden hierbei

aus Sicht aller Beteiligten aufgezeigt und sehr

deutlich herausgearbeitet, dass eventuelle

Compliance-Risiken kein Hinderungsgrund

für ein erfolgreiche Sportsponsoring darstel-

len, wenn bestimmte Rahmenbedingungen

beachtet werden.

Im Workshop „Integrity and Leadership

– Key elements for successful anti-bribery“

präsentierte die Gründerin und Präsidentin

von TRACE International die schwierigsten

Anti-Korruptions-Herausforderungen, die

multinationale Unternehmen bewältigen

müssen. Dies verdeutlichte sie unter anderem

am Beispiel der Compliance-Kultur der FIFA,

bei der sie achtzehn Monate im Independent

Governance Committee saß.

Der Arbeitskreis „Strafrecht“ unter Lei-

tung von Rechtsanwalt Prof. Dr. Dierlamm

widmete seinen Workshop dem Th ema

„Durchsuchung – Konfrontation oder Koope-

ration?“. Im Rahmen dieses Workshops

wurden den Teilnehmern die wichtigsten

Vorbereitungsmaßnahmen aufgezeigt, um

fi nanzielle und Reputationsschäden für

das Unternehmen zu vermeiden. Anhand

zahlreicher Praxisbeispiele wurde sehr plas-

tisch vermittelt, wie sich Unternehmen auf

Forum


Normadressatenstellung erfolgen sollte und

die Anbindung des Compliance-Offi cers an

das Organ betrachtet wird. Im Rahmen der

Beleuchtung der einzelnen Module des CMS

wurden den einzelnen Aspekten wie Risiko-

analyse, Whistleblowing, Personalauswahl,

Überwachungsaktivitäten, Mitarbeiter-Awa-

reness und Fortbildung, sowie Ahndung von

Verstößen und der Zertifi zierung von Com-

pliance-Systemen in dem anschaulichen Vor-

trag konsequent Rechnung getragen.

FAZIT

Es zeigt, dass DICO sich als Exper-

tennetzwerk über die Arbeit in den

Ausschüssen und Gremien noch

weiterentwickelt hat, aber auch, dass

jeder Einzelne mit seinem individu-

ellen Beitrag hierbei zählt. Auch in

diesem Jahr wurde den Teilnehmern

eine thematisch facettenreiche Aus-

wahl an Praxis-Cases, Workshops

und Vorträgen zum Th emenkreis

Compliance geboten. Sowohl inter-

nationale Vorträge als auch die

Beiträge der DICO Ausschüsse und

Arbeitskreise zeigten die Vielfalt und

Tiefe der Vernetzung von DICO auf,

von der seine Mitglieder inhaltlich

und persönlich profi tieren konnten.

Das nächste DICO Forum Compliance fi ndet

am 20. und 21. Juni 2017 in Berlin statt.

Ein Bericht von Kai Fain und Maike Scholz,

DICO – Deutsches Institut für Compliance e.V.,

Berlin

Weitere Infos unter:

www.dico-ev.de

Workshops wurden Hintergründe und erste

Erfahrungen berichtet und mit den Teilneh-

mern diskutiert.

Insbesondere aufgrund von vielfältigen

internationalen Sanktionen und Embargos

müssen vor allem international agierende

Unternehmen sicherstellen, dass sie im Rah-

men ihrer Vertriebswege nicht unmittelbar

oder mittelbar mit Personen und Gesellschaf-

ten in Kontakt kommen, die auf einer von

zahlreichen Sanktionslisten stehen. In der

Praxis ist es jedoch oft schwierig, unterneh-

mensinterne Systeme zu entwickeln, die den

hohen rechtlichen Anforderungen gerecht

werden und dabei praktikabel bleiben. Im

Rahmen des Workshops „Sanktionslisten-

screening – Rechtliche Herausforderungen

und praxistaugliche Lösungen“ stellte der

Arbeitskreis „Exportkontrolle“ seine Arbeit

sowie praktikable Lösungsansätze vor, die in

diesem Bereich ein höchstmögliches Maß an

Rechtssicherheit gewähren.

Begeisterung wird zu Recht als ein Motor

des unternehmerischen Erfolgs gesehen. Sie

soll helfen, Kooperation, Innovation und Pro-

duktivität in Unternehmen zu fördern. Wie

passt das zu Compliance, welche regelmäßig

mit Begriff en wie Bürokratie, Fehlern und

Haft ung assoziiert wird und unverzichtbarer

Bestandteil unternehmerischen Handelns

ist? Georg Gößwein hat zur Aufl ösung dieses

Widerspruchs Lösungen aus der Praxis für die

Praxis entwickelt, die er im Rahmen seines

Vortrags „Beyond conventional compliance –

Compliance als Führungsaufgabe aus Begeis-

terung!?“ den Teilnehmern vorstellte und in

einer angeregt und kontrovers geführten „Fish-

bowl Discussion“ gemeinsam auf die Probe

gestellt hat.

Abgeschlossen wurde das 3. DICO FORUM

Compliance durch die Keynote Speech

„Anforderungen an Compliance-Systeme“

von Dr. Rolf Raum, Vorsitzender des 1. Straf-

senats des BGH. Dr. Raum stellte den Teil-

nehmern die rechtliche Notwendigkeit von

Compliance-Systemen aus Sicht der Judikative

dar. Hierbei leitete er her, wie die im Rahmen

einer gerichtsfesten Organisation sowie einer

strafentlastenden Delegation die Übertragung

von Compliance-Aufgaben im Rahmen der

in den genannten Bereichen erfolgreich einge-

führt werden kann.

Der Arbeitskreis „Healthcare“ behandelte

in seinem Workshop „Korruptionsbekämp-

fung im Gesundheitswesen“ die geplanten

Straft atbestände der Bestechlichkeit und

Bestechung im Gesundheitswesen (§§ 299a,

299b StGB-E) und stellte die Auswirkungen

auf die Praxis in ausgewählten Bereichen vor.

Durch die charakteristische Interdisziplinari-

tät des Arbeitskreises wurden darüber hinaus

im Rahmen eines Ausblicks mögliche Anpas-

sungen in Referenzbereichen für die Teilneh-

mer dargestellt.

Aufgrund des besonderen Erfolges des

Workshops „Interviews – richtig gefragt,

rechtlich korrekt“ im vergangenen Jahr setzte

der Arbeitskreis „Interne Untersuchungen“

dieses Jahr auf dieser Th ematik auf: Mit

„Interne Untersuchungen: Vermeidung von

Verfahrensfehlern“ gaben die Referenten

einen fokussierten Einblick über mögliche

Stolpersteine im Rahmen von internen

Ermittlungen. Das Spektrum von der Pfl icht

zur Aufk lärung von Verdachtsfällen über die

Achtung der Persönlichkeitsrechte sowie der

Berücksichtigung des Datenschutzes bis hin

zur richtigen Formulierung von Strafanzei-

gen und der kooperativen Zusammenarbeit

mit den Behörden wurde im Rahmen dieses

Workshops vorgestellt und mit den Teilneh-

mern lebhaft diskutiert.

Der Arbeitskreis „Qualifi zierung und Trai-

nings“ stellte zusammen mit dem Deutschen

Global Compact Netzwerk im Workshop

„International ABC (Anti Bribery and Cor-

ruption)-Training for Hidden Champions“ ein

Trainingsprogramm vor, dass das Deutsche

Global Compact Netzwerk bereits erfolgreich

in Lateinamerika umgesetzt hat und dessen

Ziel es ist, die Compliance-Fähigkeiten deut-

scher Unternehmen vor Ort zu erhöhen. Dem

Ziel, kleine und mittelgroße Unternehmen

dabei zu unterstützen, wirksame Systeme zur

Korruptionsprävention zu entwickeln und

umzusetzen, dient auch die Ausdehnung des

Projekts auf Deutschland. Hier werden Schu-

lungen über ausgewählte IHKs angeboten, bei

deren Ausgestaltung und Umsetzung DICO

maßgeblich unterstützt. Im Rahmen des


www.aw-portal.de

Themenkatalog 2016 > Außenwirtschaft Bundesanzeiger Verlag

AUS DEM INHALT

Online oder CD-ROM, Jahresabonnement, inkl. integrierter Aktuali-sierung ab „Einzelplatzlizenz“, weitere Lizenzen auf Anfrage

lieferbar

Bundesamt für Wirtschaft und Ausfuhrkontrolle – BAFA (Hrsg.)HADDEX-Sanktionslisten CD-ROM

Tägliche Überprüfung der Quellen (EU-Amtsblätter, Bundesanzeiger, US-Listen, jap. METI-Liste u.a.)

Datenaufbereitung + Aktualisierung über die integrierte Downloadfunktion nach E-Mail vom Bundesanzeiger

tagesaktueller Datenstand

Herausgegeben vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA)

Dateneinbindung in eigene Software möglich (Mehrplatzlizenz erforderlich)

Einfache und schnelle Recherche

Elektronische Dokumentation der Recherche möglich

Geschäfte mit sanktionierten Personen und Institutionen sind nach nationalem Recht unter Strafe gestellt. Die Konse-quenzen daraus reichen von wirtschaftlichen Geldbußen bis hin zum Freiheitsentzug.

Vermeiden Sie negative Auswirkungen schon im Vorfeld!

Durch die Kontrolle anhand der „HADDEX-Sanktionslisten“ sind Sie sicher, keine Personen oder Institutionen zu beliefern, gegen die Sanktionsmaßnahmen des Gesetzgebers bestehen.

Die Einträge der „HADDEX-Sanktionslisten“ basieren auf den entsprechenden EU-Verordnungen und Veröffentlichungen im Bundesanzeiger. Sie werden ergänzt durch die vom U.S.-Department of Commerce zur Prüfung empfohlenen Listen sowie durch weitere nationale Listen. Die Einträge werden kontinuierlich aktualisiert und sorgfältig aufbereitet. Sie können mehrere Namen (Alias) und Adressen umfassen, so dass Sie auf eine größtmögliche Anzahl an Recherchemöglichkeiten zurückgreifen können.

BESCHREIBUNG

HINWEIS DATENFORMATE

DOWNLOADCENTERsiehe Seiten 4+5

HADDEXHandbuch der deutschen Exportkontrolle

ISBN 978-3-89817-356-8

Nationales und internationales Exportkontrollrecht

Außenwirtschaft

2012 © Bundesanzeiger Verlag, Köln · Alle Urheber- und Leistungsschutzrechte vorbehalten. Keine unerla

ubte Verv

ielfä

ltigu

ng.

Sanktionslisten

herausgegeben vom

Sie benötigen die Sanktionslisten in einem anderen Ausgabeformat?

1. Unter www.aw-portal.de können Sie im Downloadcenter die Sanktionslisten als „Datenservice Sanktionslisten“ ab einer Stand-ortlizenz zur automatisierten Weiterverarbeitung herunterladen.

2. Wenn Sie auf die komfortablen Funktionalitäten der „HADDEX-Sanktionslisten CD-ROM“ nicht verzichten wollen, stehen Ihnen als Web-Anwendung die „Sanktionslisten“ unter www.aw-portal.de zur Verfügung.

VORTEILE

• EU-Finanzsanktionen

• Veröffentlichungen im Bundesanzeiger

• Vom U.S.-Department of Commerce zur Prüfung empfohlene Listen

• Liste des Vereinigten Königreichs (HMT Her Majesty‘s Treasury)

• Japanische Liste: Japanese End User List METI (Ministry of Economy, Trade and Industry)

• Australische Liste: Australia DFAT (Department of Foreign Affairs and Trade)

• Kanadische Liste: OSFI (Office of the Superintendent of Financial Institutions)

• Schweizer SECO-Liste

www.aw-portal.de/haddex-sanktionslisten

WEITERE INFOS UND

BESTELLMÖGLICHKEIT

TECHNIK:Jens Schotte; Tel.: (0 64 31) 28 91-33E-Mail: [email protected]

VERTRIEB: Volker Herberth; Tel.: (02 21) 9 76 68-280 E-Mail: [email protected]

Für den AEO unerlässlich: die Kontrolle gegen die Sanktionslisten!

72

Rezension

Lesenswertes für Compliance-Verantwortliche

In der vierten Edition der Leitlinien zur Nachhal-

tigkeitsberichterstattung bietet die Global Reporting

Initiative (GRI) mit ihren Guidelines überarbeitete

Berichterstattungsgrundsätze, Standardangaben und

eine Umsetzungsanleitung an. Sabrautzky und Hob-

belhagen greifen die GRI-Leitlinien auf und schaff en

mit ihrem Handbuch Kennzahlen der G4 Leitlinien

zur Nachhaltigkeitsberichterstattung ein Nachschla-

gewerk für Praktiker. Der Untertitel Praxis-Leit-

faden: Alle spezifi schen Standardangaben der G4

Leitlinien leicht und mit Beispielen erklärt, gewährt

dem Leser einen präzisen Ausblick in das Handbuch

– auf der Grundlage der G4 Leitlinien werden mit

Hilfe von gleichbleibenden Mustern alle spezifi schen

Standardangaben aufgeschlüsselt und übersichtlich

dargestellt. Neben einer chronologischen Zusam-

menfassung der spezifi schen Standardangaben der

G4 Leitlinien, die gleichzeitig als Inhaltsverzeichnis

fungiert, fi nden sich Grundlagen zur Ausführung der

Leitlinien und weitere Informationen zu verwandten

Kodizes, die die Leitfäden umklammern.

Bei der Erstellung von Nachhaltigkeitsberichten gilt

es dabei drei grundlegende Th emengebiete voneinander

zu unterscheiden: Zum einen die wirtschaft liche und

die ökologische Komponente. Beim dritten Oberbegriff

werden soziale bzw. gesellschaft liche Fragestellungen

behandelt, die in die Unterthemen Arbeitspraktiken,

Menschenrechte, Gesellschaft und Produktverantwor-

tung aufgeteilt sind. Alle Bereiche werden entsprechend

der Reihenfolge der G4 Leitlinie dargelegt.

Angefangen bei dem Aspekt der jeweiligen Standard-

angaben wird dazu die Relevanz der Oberbegriff e

zusammengefasst, um dann mit einer praktischen

Formel zur übersichtlichen Orientierungshilfe über-

zugehen. Abgerundet werden die entsprechenden

Aufstellungen mit wertvollen Verhältniskennzahlen

und direkten Querverweisen zu den G4 Leitlinien.

Durch die konsequente Einhaltung des Schemas

wird sowohl ein schneller Einstieg in alle Bereiche

der Leitlinie möglich gemacht als auch die direkte

Vergleichbarkeit der einzelnen Standardangaben

gewährleitstet.

Tipp für Compliance Manager:Compliance Manager, die auf der Suche nach einem

Schlüssel zu den spezifi schen Standardangaben der

G4 Leitlinien zur Nachhaltigkeit sind, werden hier

fündig. Alle einzelnen Codes der Guidelines wer-

den für den praxisbezogenen Einsatz übersetzt und

können direkt umgesetzt werden. Durch die objek-

tiv gehaltene Form eignet sich der Praxis-Leitfaden

zudem für die Erstellung von Nachhaltigkeitsberich-

ten aller Organisationen, unabhängig von Größe,

Branche oder Standort.

Alexander Matuk, LL.M.

Viadrina Compliance Center

Kennzahlen der G4 Leitlinien zur Nachhaltigkeitsberichterstattung,

Thorsten Sabrautzky/Frode Hobbelhagen, Books on Demand, 2016, 120 Seiten, 29,90 €

ISBN 978-3-842-35822-5


Rezension

hinaus enthält das Werk Checklisten, die Überprüfun-

gen ermöglichen, ob das Unternehmen die Compli-

ance-Anforderungen von ISO 19600 erfüllt. Es eignet

sich somit bestens für Personen, die ein CMS erstmalig

einführen, als auch für solche, die ein bereits existier-

endes System evaluieren möchten.

Tipp für Compliance Manager:Das Buch ist ein wertvolles Werkzeug zur Kontrolle,

wie ein CMS nach ISO 19600 entwickelt, implemen-

tiert, aufrechterhalten und verbessert werden kann.

Es eignet sich diesbezüglich besonders gut für Com-

pliance Manager, die sich einen Überblick über die

einheitlichen Rahmenbedingungen für CMS nach ISO

19600 verschaff en wollen. Es kann auch als ein tägli-

ches Arbeitswerkzeug eingesetzt werden, um beste-

hende Systeme zu evaluieren.

Mag.-iur. Agata Adamowicz, LL.B.

Viadrina Compliance Center (VCC)

Die Norm ISO 19600, die im Herbst 2016 als eine

deutsche DIN-Norm veröff entlicht wird, stellt einen

globalen Standard dar, mit dessen Hilfe die Regeln

zur Gestaltung von Compliance Management-Sys-

temen vereinheitlicht wurden. Durch das Werk von

Prof. Fissenewert erhält der Compliance-Beauft ragte

einen komplexen Überblick sowohl über Inhalte und

Grundsätze von ISO 19600 als auch über die Möglich-

keit der Zertifi zierung eines CMS nach dieser Norm.

Außerdem wird praxisnah behandelt, was für einen

erfolgreichen Nachweis eines CMS nach der Norm

zu beachten ist. Ein logischer und gut strukturierter

Aufb au des Buches hilft beim Verständnis der Prob-

lematik. Aufgrund von vielen praktischen Hinweisen

ist diese Publikation zum Nachschlagen gut geeignet.

Der Mehrwert des Buches liegt in der Praxisnähe und

Fokussierung auf die Th ematik, wie ein solches System

in der Praxis funktionieren kann. Außerdem wird von

dem angesehenen Spezialist das Wissen vermittelt, was

ISO 19600 für Unternehmen im Vergleich zu natio-

nalen CMS-Standards wie IDW PS 980 leistet. Darüber

PraxishandbuchInternationale Compliance-Management-SystemeGrundsätze – Checklisten – Zertifi zierung gemäß ISO 19600

Prof. Dr. Peter Fissenewert

Erich Schmidt Verlag,2015, 292 S., ca. 49, 95 €

ISBN 978-3-503-16329-8

© E

rwin

Wod

icka

- Sh

otsh

op.d

e

U N I V E R S I T Ä R E R Z E R T I F I K AT S K U R S

Compliance Officer (Univ.)Nächster Starttermin des 10-tägigen Zertifikatskurses: 07. Oktober 2016Weitere Informationen unter: www.zww.uni-augsburg.de/compliance

ZWW - Weil ich‘s wissen will

Name Deutsches Institut für Compliance (DICO) Bundesverband der Compliance Manager (BCM)

Internetseite www.dico-ev.de www.bvdcm.de

E-mail [email protected] [email protected]

Sitz Berlin Berlin

Gründungsjahr 2012 2013

Rechtsform Verein Verein

LeitungDr. Rainer Markfort (Stellvertretender Sprecher des Vorstandes)

Mirko Haase (Präsident)

Zielsetzung die Förderung der Wissenschaft und Forschung sowie der Aus- und Fortbildung auf dem Gebiet der Compliance.

die Förderung der Berufsgruppe der Compliance Manager in Unternehme Verbänden, Non-profit-Organisationen und vergleichbaren Institutionen.

die Vertretung der wirtschaftlichen und berufsständischen Interessen der Compliance Manager gegenüber Politik, Wirtschaft, Medien und Zivilgesellschaft.

Schwerpunkte

Forschung zur Entwicklung von allgemeingültigen Compliance-Standards und Erarbeitung von Compliance-Maßnahmen zur unentgeltlichen Verwendung in privaten und öffentlichen Unternehmungen,

Entwicklung von Programmen für Schulungen sowie Aus- und Fortbildungen von Compliance-Personal,

Weiterbildung auf dem Gebiet der Compliance durch Seminare, Vorträge, Konferenzen und Workshops,

unentgeltliche Information der Allgemeinheit und Institutionen im Hinblick auf die Aufgaben, Funktionsweisen und die Umsetzung von Compliance sowie der Einrichtung der Compliance-Funktion,

Aufbau und Pflege des Erfahrungsaustauschs zwischen Praxis und Wissenschaft auf nationaler und internationaler Ebene durch Vorträge und Diskussionen in Ausschüssen, Arbeitskreisen, Seminaren und Tagungen,

Herausgabe von wissenschaftlichem Schrifttum und Fachpublikationen auf dem Gebiet der Compliance sowie die Förderung von Autorenbeiträgen.

Schaffung der Möglichkeit zur Vernetzung und zum Erfahrungsaustausch,

Fort- und Weiterbildung,

die Förderung des qualifizierten Nachwuchses,

Veröffentlichungen,

die Teilnahme am öffentlichen und wissenschaftlichen Diskurs,

die Erhaltung und Pflege des Ansehens und der Anerkennung des Berufsstandes,

die Pflege internationaler Kontakte.

Mitgliederzahl über 180 700

Mitgliederform

Natürliche sowie juristische Personen. Natürliche Personen, die in Unternehmen, Verbänden,

Non-profit-Organisationen und vergleichbaren Institutionen mit der Wahrnehmung von Compliance-Themen beauftragt sind.

Mitgliedsbeitrag

Einzelmitglied: 100 Euro/Jahr Firmen können je nach Größe bis zu sechs Vertreter als DICO-Mitglieder anmelden:

50 Mitarbeiter: 250 Euro/Jahr (2 Vertreter),

51-100 Mitarbeiter: 500 Euro/Jahr (3 Vertreter),

101-150: 1.000 Euro/Jahr (4 Vertreter),

151-2.000: 1.500 Euro/Jahr (5 Vertreter),

ab 2.000 Mitarbeiter: 2.500 Euro/Jahr (6 Vertreter).

130 Euro pro Kalenderjahr

Hauptevents

Jährlich stattfindetes DICO FORUM Compliance,

die Veranstaltungsreihe DICO Talk.

Bundeskongress Compliance Management,

die Seminarreihe „BCM Campus Days“,

die Veranstaltungsreihe „BCM Coaching Days“,

Nachwuchsförderpreis – jährliche Auszeichnung herausragender Abschlussarbeiten, die sich wissenschaftlich forschend Compliance-Themen zuwenden.

Unter- gliederungen

Ausschüsse, Arbeitskreise und Projektgruppen Regionalgruppen und Fachgruppen

Haupt-maßnahmen

Veröffentlichung von Leitlinien, Arbeits- und Informationspapieren sowie anderen Studien zum Thema Compliance, z.B. DICO Leitlinie zur Geschäftspartner-Compliance, DICO Risikokatalog

§ Das Fachmagazin „Compliance Manager“– das offizielle Magazin des Berufsverbands der Compliance Manager,

§ Serviceleistungen:

der unterschiedlichen Aufgabengebiete eines Compliance Managers,

Manager BCM Intranet,

Service Guide Compliance Verbände

Deutsches Ins�tut für Compliance

Bundesverband Deutscher Compliance Officer e.V. (BDCO) Netzwerk Compliance e.V.

www.bdco.de www.netzwerk-compliance.de

[email protected] [email protected]

Frankfurt am Main München

2012 2007

Verein Verein

Vorstand Dr. Reinhard Preusche (Vorsitzender des Vorstands)

die Förderung der Wissenschaft und Forschung,

die Förderung der Berufsbildung,

die Förderung der Kriminalprävention auf dem Gebiet Compliance.

Diskussion rechtlicher, wirtschaftlicher und organisatorischer Fragen zu den Themen Compliance und Best Practice zwischen Industrieunternehmen, Banken, Versicherungen sowie interessierten natürlichen und juristischen Personen,

Aufbau und Pflege politischer Kontakte,

Ausrichtung von Veranstaltungen zur Weiterbildung.

Die Forschung und Durchführung von Forschungsvorhaben zu Compliance.

Die Information und Unterstützung von (gemeinnützigen) Behörden im Hinblick auf die Aufgaben, Funktionsweisen, Errichtung und Umsetzung von Compliance-Funktionen.

Förderung bei der Prävention von Straftaten und Ordnungswidrigkeiten durch Stärkung der Rechtstreue und des Verantwortungsbewusstseins.

Erstellung von Programmen für Schulungen sowie Aus- und Fortbildungen von Compliance-Personal und sonstiger Interessierter.

Erstellung Herausgabe und Förderung von wissenschaftlichen und fachlichen Erfahrungsaustausches zwischen Praxis und Wissenschaft durch Vorträge, Diskussionen und Arbeitskreise.

Beziehungen zu Organen der Rechtssetzung auf nationaler und internationaler Ebene.

Erstellung unentgeltlicher Stellungnahmen zu rechtspolitischen oder sonstigen Fragen auf dem Gebiet der Compliance.

Förderung des Erfahrungsaustauschs unter den führenden Unternehmen in Deutschland,

Diskussion über aktuelle Herausforderungen,

Wissensvermittlung, die die Vermeidung von großen Skandalen bezweckt.

über 200

Ordentliche Mitglieder – natürliche Personen,

Informationsmitglieder – natürliche sowie juristische Personen

Natürliche und juristische Personen,

Juristische Personen werden durch eine berechtigte Person vertreten.

die Art und Höhe der Beiträge wird für jedes Kalenderjahr durch die Mitgliederversammlung in Form eines Beschlusses bestimmt.

ein Jahresbeitrag für Unternehmen oder Personen, deren Zweck an Compliance-Beratung, Compliance-Training, Zertifizierung oder die Vermarktung von Compliance-Produkten gerichtet ist: 500 € .

Compliance-Tag,

Konferenzen,

Vorträge.

Vortragsveranstaltungen zu aktuellen Themen, die zweimal im Jahr (Frühling und Herbst) stattfinden

Arbeitskreise Arbeitsgruppen für größere Themen

Fachpublikationen,

Stellungnahmen,

Wissenschaftliche Beiträge,

Vorträge,

Diskussionen.

Vorträge, Diskussionen über aktuelle Themen

Service GuideCompliance Verbände


Firma Anschrift PLZ Ort Web

2B Advice GmbH Joseph-Schumpeter-Allee 25 53227 Bonn www.2b-advice.com

2net® Carsten Lang Am Rosenanger 79 13465 Berlin www.sidoc.info

AEB Gesellschaft zur Entwicklung von Branchen-Software mbH Julius-Hölder-Straße 39 70597 Stuttgart www.aeb.de

Antares Informations-Systeme GmbH Stuttgarter Straße 99 73312 Geislingen www.antares-is.de

AOB GmbH Kurze Straße 19–21 59494 Soest www.aob-consulting.de

audicon GmbH Aachener Straße 75 50931 Köln audicon.net

Bisnode Deutschland GmbH Robert-Bosch-Str. 11 64293 Darmstadt www.bisnode.de

Bundesanzeiger Verlag GmbHAmsterdamer Str. 192

Kornmarkt 9

50735

65549

Köln

Limburg


www.aw-portal.de/ datenbankdownloads

BWise Germany GmbH Kaiserswerther Straße 115 40880 Ratingen www.bwise.com

bytes-business Kleiner Moorweg 10 25436 Tornesch www.bytes-business.de

calpane business consulting gmbh Blumauerstraße 43 A-4020 Linz www.calpana.com

Consist Software Solutions GmbH Falklandstraße 1–3 24159 Kiel www.consist.de

Contact Software GmbH Wiener Straße 1–3 28359 Bremen www.contact-software.com

CONTECHNET Ltd. Mehrumer Straße 8 c + d 31319 Sehnde www.contechnet.de

Contelligence GmbH Nevinghoff 12 48147 Münster www.contelligence-solutions.de

CWA GmbH Korbmacher Weg 3 28865 Lilienthal www.cwa.de

DAKOSY Datenkommunikationssystem AG Mattentwiete 2 20457 Hamburg www.dakosy.de

dbh Logistics IT AG Martinistr. 47-49 28195 Bremen www.dbh.de

Decisio Management Consulting GmbH Rotenburger Straße 28 30659 Hannover www.decisio.de

DHC Buisness Solutions GmbH & Co. KG Landwehrplatz 6–7 66111 Saarbrücken www.dhc-gmbh.com

digital spirit GmbH Markgrafenstraße 62/63 10969 Berlin www.digital-spirit.de

Dow Jones News GmbH Schiffbauerdamm 40 10117 Berlin new.dowjones.com

dsbbrain2000.de Am Ziegelgrund 28 01744 Dippoldiswalde www.dsbbrain2000.de

Frred Software GmbH Wilhelmstraße 24a 79098 Freiburg www.frred.com

GRC Partner GmbH Schauenburgerstraße 116 24118 Kiel www.grc-partner.de

Haufe-Lexware GmbH & Co. KG Münzinger Straße 9 79111 Freiburg www.haufe.de

HiScout GmbH Bouchéstraße 12 12435 Berlin www.hiscout.com

Übersicht CM-Software

* Diese Angaben sind ohne Gewähr.

Service Guide CM-Software


Service Guide

Firma Anschrift PLZ Ort Web

ISO Software Systeme GmbH Strahlenbergerstr. 110 63067 Offenbach am Main www.isogmbh.de

ibi Systems GmbH Schäffnerstraße 29 93047 Regensburg www.ibi-systems.de

INFODAS GmbH Rhonestr. 2 50765 Köln www.infodas.de

ITM Infor-Tele-Matik AG Wirtschaftspark 59 9492 Eschen www.itm.li

Kewill GmbH Norsk-Data-Straße 1 61352 Bad Homburg v.d.H. www.kewill.com

Kronsoft e.K. Schillerstraße 10 66564 Ottweiler www.kronsoft.de

LexisNexis GmbH Heerdter Sandberg 30 40549 Düsseldorf www.lexisnexis.com

M.I.T e-Solutions Am Zollstock 1 61381 Friedrichsdorf www.mit.de

Martin Mantz GmbH Hansaring 8 63843 Niedernberg www.martin-mantz.de

OPTIMAL SYSTEMS GmbH Cicerostraße 26 10709 Berlin www.optimal-systems.de

Opture GmbH Hasenhöhe 94 22587 Hamburg www.opture.com

Otris Software AG Königswall 21 44137 Dortmund www.privacyguard.de

parcIT GmbH Bayenwerft 12 50678 Köln www.parcit.de

Perceptive Software Deutschland GmbH Steinplatz 2 10623 Berlin www.saperion.com

ReviSEC Nahblöcken 3 27299 Langwedel www.revisec-datenschutz.de

QE LaB Business Services GmbH Technikerstraße 21a A-6020 Innsbruck www.qe-lab.com

Rausoft GmbH Böblinger Strasse 25 71229 Leonberg www.idprove.de

RiskNET GmbH Ganghofer Straße 43a/b 83098 Brannenburg www.risknet.de

SAP Deutschland AG & Co. KG Hasso-Plattner-Ring 7 69190 Walldorf www.sap.com

Secure IT Consult Hücheler Ring 25 53773 Hennef www.secure-it-consult.com

SerNet GmbH Bahnhofsallee 1b 37081 Göttingen www.verinice.org

synetics GmbH Hildebrandtstraße 4d 40215 Düsseldorf www.i-doit.com

WEKA MEDIA GmbH & Co. KG Römerstraße 4 86438 Kissing www.weka.de

CM-Software

Firmeneinträge


Firmenprofil

Die Rausoft GmbH ist ein renommiertes

Software-Entwicklungshaus aus dem Groß-

raum Stuttgart, das seit 2004 darauf speziali-

siert ist, Unternehmen bei der Durchführung

von Sanktionslistenprüfungen im Rahmen

der EG-Antiterrorismus-Verordnung und

bei der AEO-Zertifizierung zu unterstützen.

Hierfür wurde die Software lösung ID.prove

entwickelt, die bereits Europa- und Weltweit

in Unternehmen aller Größen und Branchen

erfolgreich im Einsatz ist. Perfekte Qualität,

einfache Bedienung und bester Service zu

fairen Preisen stehen bei der Rausoft GmbH

an erster Stelle.

Leistungsspektrum / Produktangebote / Referenzen

ID.prove ist eine spezialisierte Software-

lösung, die Sie bei der Einhaltung von

Finanzembargos (EU, US, PEP) unterstützt.

Alle Prüfvorgänge gegen die aktuellen Sank-

tionslisten können automatisiert im Hin-

tergrund ausgeführt werden. Die dabei ver-

wendeten Suchalgorithmen wurden für

Ermittlungsbehörden aus dem Bereich Wirt-

schaftskriminalität entwickelt und bieten

Ihnen neben der Sicherheit nichts zu „über-

sehen“ eine minimale Nachbearbeitungs-

quote.

Ihre Vorteile

Bei der Entwicklung von ID.prove wurde

ganz besonders auf die folgenden Punkte

Wert gelegt:

100 % Einhaltung der gesetzlichen

Vorgaben

geringste Anpassung der bestehenden

Geschäftsprozesse

Absolute Kostentransparenz

Einfachste Bedienung und geringe

Bearbeitungszeit

Sicherheit & Datenschutz

Die Prüfung Ihrer Daten erfolgt mit ID.prove

auf Ihrem PC bzw. Netzwerk, Sie verlassen

somit garantiert nicht Ihr Unternehmen.

Durch die Benutzer- und Gruppensteuerung

sehen nur berechtigte Mitarbeiter die ent-

sprechenden Informationen.

Ihre sensiblen Daten verlassen nie Ihr

Unternehmen und können nicht von

Dritten eingesehen werden

100 % Datenschutzkonform

Revisionssichere Protokollierung

4-Augen-Prüfprinzip

Integration in Ihre Systemlandschaft

Ob als Einzelplatz oder in Ihr ERP-System

integriert. ID.prove hat für jede Umgebung

eine passende Schnittstelle:

Universal ERP-Schnittstelle

Einzelplatz, Mehrplatz

Intranet-Lösung für Einsatz im

Web browser ohne Installation

Einzel- & Batchprüfungen

Modularer Aufbau

Einfache Konfiguration

Virtueller Server

Kosten

Für alle ID.prove Lizenzmodelle gilt

eine vollständige Kostentransparenz.

Die Software wird bei Ihnen installiert –

es gibt keinerlei Volumenbeschränkungen.

Einmaliger Software-Kaufpreis

Preis ist unabhängig von der Anzahl der

zu prüfenden Datensätze

Installation und Schulung durch unser

Support-Team zum fairen Festpreis

Beste Prüfalgorithmen garantieren eine

geringe Treffernachbearbeitung.

Intuitive Bedienung der Software –

dadurch minimaler Schulungsaufwand

Keine wiederkehrende Prüfung bereits

klassifizierter Treffer (Whitelist / ID.prove

Deltalogic)

Extras

ID.prove beinhaltet zusätzliche Funktionen

und Hilfsmittel, die Ihnen Ihre tägliche

Arbeit erleichtern.

Umsatzsteuer-Ident-Prüfung

Einzel- und Batchprüfung auch von Deut-

schen USt-Ident-Nummern.

TARIC Abfrage

Information zu Länderembargos

PEP-Listen Integration

Eigene Blacklist

Prüfverfahren

ID.prove bietet für jede Situation das pas-

sende Prüfverfahren mit spezialisierten und

anpassbaren Suchalgorithmen.

ID.prove Matching Algorithmus

ID.prove Fuzzy – Suche

ID.prove Phonetik – Suche

ID.prove Deltalogic

ID.prove IntelliADR

Weitere Programmfunktionen

ODBC-Schnittstelle

Webservice-Schnittstelle

RFC-Schnittstelle

Dateischnittstellen

Terminalserver / Citrix

Einzelabfragen / Batchprüfung

Webclient / Intranet

Online-Integration (Webshop)

SAP Integration

Trefferrouting

Blacklist / Whitelist

Protokollfunktion

Multi-Job fähig

High-Performance-Screening

Preissegment

ab 795,-€ (einmalige Softwarekosten)

ID.prove volumenunabhängige Inhouse-Lösung.

Die gesetzlich geforderte Sanktionslisten sind kostenfrei.

Referenzen

Über 1.000 Installationen weltweit bei Unternehmen und Konzernen,

völlig branchen- als auch größenunabhängig.

z.B.: Deutsche Lufthansa Versicherung, Agility Logistics, Apetito

Testen Sie ID.provekostenlos und unverbindlich

www.idprove.de

Rausoft GmbH

Anschrift: Böblinger Strasse 25

71229 Leonberg

Telefon: +49 (0) 7152 / 31 961 - 0

Fax: +49 (0) 7152 / 31 961 - 90

E-Mail: [email protected]

Internet: www.idprove.de

Software

Firmeneinträge


Firmenprofil

Wir digitalisieren die Lieferketten dieser Welt.

dbh Logistics IT AG (dbh) ist einer der führen-

den Experten für Software und Beratung in

den Bereichen Zoll und Außenhandel, Com-

pliance, Transportmanagement, Hafenwirt-

schaft, SAP und Rechenzentrumslösungen.

Mit mehr als 40 Jahren Erfahrung entwickeln

wir Branchenlösungen für Industrie und

Handel, Spedition und Logistik sowie Schiff-

fahrt und Hafen.

Das Portfolio reicht von Beratung und

Konzeption über Entwicklung und Umset-

zung bis hin zu Hosting und Support. In

den hauseigenen Rechenzentren in Bremen

betreibt dbh sowohl einzelne Anwendungen

als auch komplexe IT-Infrastrukturen und

SAP-Systeme.

dbh wurde 1973 gegründet und beschäf-

tigt deutschlandweit rund 170 Mitarbeiter.

Neben dem Stammsitz in Bremen unterhält

das Unternehmen weitere Standorte in ganz

Deutschland.

Mehr Informationen: www.dbh.de


Software, in deren Code

Globalisierung steckt

Das Produktportfolio für Zoll und Außen-

handel ist dank zertifizierter Software bestens

für den globalen Handel geeignet. Wichtigstes

Merkmal ist der modulare Aufbau. Mit stan-

dardisierten Schnittstellen wird die Kompa-

tibilität zu gängigen ERP- (z. B. SAP) und

WMS-Systemen sichergestellt.

Auf Nummer sicher gehen

Die Themen Sicherheit und rechtskon-

formes Handeln spielen im großen Kontext

von Compliance Management eine immer

größere Rolle. Hierbei sind nicht nur zahl-

reiche Regelungen zu berücksichtigen, son-

dern diese sind auch noch regelmäßigen

Änderungen unterworfen.

Wichtig zu wissen: Es sind sowohl Außen-

handelsgeschäfte als auch alle anderen

Geschäfte und Geschäftskontakte eines

Unternehmens betroffen. Regelungen gibt

es sowohl für Waren, Software und Techno-

logie (zusammengefasst unter dem Begriff

„Güter“), als auch für Handels- und Ver-

mittlungsgeschäfte („Brokering“).

Erfolgreiches Compliance & Risk Manage-

ment, das bedeutet alle national und inter-

national geltenden Handelsbeschränkungen

und Sanktionen immer im Blick zu behal-

ten. Als Softwarelösung bieten wir Advan-

tage Compliance an. Das Produkt verfügt

derzeit über drei Module:

Sanktionslistenprüfung: Prü-

fen Sie Ihre Geschäftskontakte tagesaktuell

gegen Anti-Terrorlisten, u. a. der EU, USA

und Schweiz (Bundesanzeiger Content).

Exportkontrolle: Geltende Total-,

Teil- und Waffenembargos automatisch

berücksichtigen und Handelsbeschrän-

kungen erkennen.

Tarifierung: Intelligente Unter-

stützung zum Einreihen von Waren in den

Zolltarif.

Unsere Software verbindet

Als zertifizierter SAP-Servicepartner kön-

nen wir auf den Kunden zugeschnittene

Beratungsleitungen im gesamten SAP-Um-

feld anbieten.

Hinzu kommen verschiedene SAP-Erweite-

rungen in Form von Plug-ins zur Abwick-

lung von Zoll- und Außenhandelspro-

zessen. Dazu gehören natürlich auch die

Compliance Plug-ins zur Sanktionslisten-

prüfung, Exportkontrolle und Tarifierung

in SAP.

Experten für Logistik-IT seit 1973

Unser Unternehmen verfügt über mehr als

vierzig Jahre Erfahrung in der Logistik-IT

sowie fundiertes Branchen-Know-how

und Expertenwissen aus den Bereichen

Zoll, Compliance, Spedition, Hafenwirt-

schaft, SAP und Rechenzentrumslösungen.

Wir übernehmen die gesamte Projektab-

wicklung bis hin zur Schulung Ihrer Mit-

arbeiter.

Die dbh-eigenen, ISO 27001 zertifi-

zierten Rechenzentren orientieren sich

an höchsten internationalen Standards

zu Ausfall- und Datensicherheit. Auch der

technische und fachliche Kundensupport

wird von qualifizierten eigenen Mitarbei-

tern geleistet.

dbh Logistics IT AG

Anschrift: Martinistr. 47-49, 28195 Bremen

Telefon: +49 (0) 421 30902-700

Fax: +49 (0) 421 30902-57


Kontakt: Marc Hasenbein

FirmeneinträgeSoftware

Firmeneinträge


M.I.T e-Solutions GmbH

Ansprechpartner: Onno Reiners

Anschrift: Am Zollstock 1, 61381 Friedrichsdorf

Telefon: +49 (0) 6172 / 71 00-0

Fax: +49 (0) 6172 / 7100-10


Internet: www.mit.de, www.compliance-learning.de

Firmenprofil

M.I.T e-Solutions liefert umfassende Trai-

nings- und Kommunikationslösungen rund

um das Thema Compliance. Mit diesen

Angeboten unterstützen wir das Vorbeugen

und das Schaffen einer gelebten Compliance-

Kultur. Neben dem Erkennen und Reagie-

ren ist das Vorbeugen von rechtlichen und

ethischen Risiken eine der drei wesentlichen

Säulen eines Compliance Systems. Damit ein

solches erfolgreich und stabil ist, braucht es

Einsicht, Wissen und die Motivation bei

allen Beschäftigten, Compliance zu leben.

Dazu tragen die sechs unten beschriebenen

Beratungs-, Schulungs- und Kommunika-

tions-Bausteine von M.I.T bei.


Compliance Beratung

Ausgehend von einer Bedarfs- und Ziel-

gruppen-Analyse entwickeln wir im Dia-

log mit Ihnen ein maßgeschneidertes Schu-

lungs- und Kommunikationskonzept für Ihr

Unternehmen. Die Wahl der Medien und

Methoden hängt vom Bedarf und dem Risi-

kograd der jeweiligen Zielgruppe und von

Ihrem Wunschbudget ab. Die folgenden

fünf Bausteine beschreiben unsere Umset-

zungslösungen.

Compliance Lernprogramme

Wir stellen Lernprogramme bereit, mit

denen Sie in gleichbleibender Qualität

stichtaggenau große Ziel- und Risikogrup-

pen erreichen und anhand von Tests nach-

weisbar schulen können. Interaktiv, praxis-

nah, expertengeprüft und motivierend: so

sensibilisieren Sie schnell und wirksam für

rechtskonformes Verhalten. Ob zu Kartell-

recht, Datenschutz oder Korruptionsprä-

vention: wir liefern preisgünstige und indi-

vi-duell anpassbare Standardprogramme

oder Ihr ganz individuelles Lernprogramm.

Compliance Lernprogramme

plus Lernmanagement

Unser Lernmanagementsystem (LMS)

ermöglicht Ihnen eine zielgruppengenaue

Trainingsansprache und einen hohen Erfül-

lungsgrad: Sie können freiwillige und ver-

pflichtende Lernprogramme differenziert

nach unterschiedlichen Risikogruppen aus-

rollen, über unser LMS an Schulungsfristen

erinnern und mit Berichtsfunktionen interne

und externe Schulungsnachweise erbringen.

Compliance Training

im Methodenmix (Blended Learning)

Wir entwickeln Ihr individuelles Schulungs-

konzept und setzen es auf Wunsch um. Eine

Vielfalt an Medien, Methoden und Zeitplä-

nen erlaubt die bedarfsgenaue Ansprache

unterschiedlicher Risikogruppen in Ihrem

Unternehmen. Führungskräfte haben z.B.

einen anderen Sensibilisierungsbedarf als

Produktions-Mitarbeiter. Wir „blenden“ auf

Wunsch digitale und gedruckte Medien, Prä-

senzveranstaltungen oder Tutoring zu einer

stimmigen und für Sie wirksamen Lösung.

Compliance Training-as-a-Service

M.I.T nimmt Ihnen Arbeit ab: durch das

Auslagern von Planungs-, Konzeptions- und

Durchführungsarbeiten bei Compliance-

Schulungen. Wir konzipieren und erstel-

len Print- und Digitalmedien für Sie, z.B.

Ihre Verhaltenskodex-Broschüre oder ein

Tone-from-the-Top-Video, wir organisie-

ren Dozenten und übernehmen das Semi-

nar- und Anwender-Management, stellen

Seminarräume und übernehmen Logistik-

Dienste.

Compliance Kommunikation

und Awareness

Lernen und Kommunizieren gehen bei

Compliance Hand in Hand. Als e-Lear-

ning und e-Marketing Agentur setzen wir

moderne, webbasierte Kommunikationslö-

sungen um, die zu Ihrem Trainingsbedarf

passen. Zum Beispiel Web- und Microsites,

Videos, Mailings, Intranet-Seiten, Social

Media Maßnahmen oder auch Serious

Games, die das Thema Compliance spiele-

risch erschließen.

Referenzen

Kunden, die Compliance-Lösungen von M.I.T einsetzen, sind Großunternehmen (z.B. Bayer AG, Gothaer Versicherungsbank VVaG), der Mittelstand (z.B. CHEP Deutschland GmbH, DKV MOBILITY SERVICES Group) und Behör-den (z.B. Land Hessen).

Software

81

Firmeneinträge

Firmenprofil

Der Bundesanzeiger Verlag veröffentlicht seit

über 55 Jahren die amtlichen Verkündungen

und Bekanntmachungen des Gesetzgebers.

Der Fachverlag weist zudem eine ausgeprägte

Fachkompetenz im Bereich Außenwirtschaft

und Zoll auf, die durch eine umfangreiche

Produktpalette und die Zusammenarbeit mit

herausragenden Autoren, Kooperationspart-

nern und Behörden dokumentiert wird. Der

Verlag bietet tagesaktuelle Informationen als

Software, Data-Content, Push-Dienste sowie

Nachschlagewerke und Leitfäden an.

Software und Data-Content:

TARIFE Premium

TARIFE Premium bietet die Originalda-

ten des elektronischen Zolltarifs (EZT) mit

Schnittstellen für die Anbindung an die

DV-Systeme der Kooperationspartner bzw.

der Wirtschaft und stellt damit die umfas-

sende Lösung für die Zollabteilung dar.

TARIFE Premium wird eingesetzt in Unter-

nehmen, die häufig auf Zolltarifdaten

zurückgreifen, oft verschiedene Waren ein-

oder ausführen, Waren einführen deren Zoll-

sätze sich häufig ändern oder schon einen

Blick auf zukünftige Zollsätze werfen wol-

len sowie die zolltarifliche Behandlung ihrer

Produkte weitestgehend automatisieren

wollen etc.

TARIFE Premium ermittelt tagesaktuell Zoll-

sätze, Einfuhrbeschränkungen, Kontingente,

Ausgleichszollsätze, Antidumping- und Prä-

ferenzmaßnahmen. Sie erhalten damit alle

wesentlichen Zolltarif-Informationen auf

einen Blick.

Daten: Die 11-stelligen deutschen Import-

daten werden per Download tagesaktu-

ell bereitgestellt oder können per CD-ROM

extrahiert werden.

TARIFE Multilanguage

Die 10-stelligen Import-Daten der EU stehen

in allen Amtssprachen der EU per Download

in unterschiedlichen Formaten tagesaktuell

bereit.

TARIFE Export

Sie sind ausschließlich im Export tätig?

TARIFE Export führt die zu einer Waren-

nummer gehörenden und bei einer Export-

prüfung relevanten Daten in einer Daten-

bank zusammen und zeigt sie Ihnen auf

einem Bildschirm ohne große Navigation

direkt an. Kein lästiges Wechseln in unter-

schiedlichen Informationsquellen.

Alle wesentlichen exportrelevanten Infor-

mationen erhalten Sie in einer Datenbank.

Die intuitive Benutzerführung innerhalb

der Anwendung führt Sie durch die Waren-

nomenklatur, ATLAS Codierungen (z.B.

Y 901), Zusatzcodes, Fußnoten und natio-

nale Hinweise.

Via Schnittstelle können die Daten aus

TARIFE Export in eigene Systeme und denen

der meisten Zollsoftwarehäuser automatisiert

tagesaktuell übernommen und die Stamm-

datenpflege damit vereinfacht werden.

TARIFE Export stellt Ihnen geänderte Daten

stets tagesaktuell zur Verfügung und ermög-

licht eine EDV-basierte einfache und kom-

fortable Stammdatenpflege.

Daten: Die 8-stelligen Exportdaten wer-

den in allen Amtssprachen der EU kombi-

niert mit Ausfuhrliste/Dual-use-Verordnung,

ATLAS-Codierungen etc. per Download tages-

aktuell bereitgestellt.

Warenverzeichnis für die

Außenhandelsstatistik

Das Warenverzeichnis für die Außenhan-

delsstatistik entspricht der zolltariflichen

und statistischen Nomenklatur der Europä-

ischen Gemeinschaft (Kombinierte Nomen-

klatur) und dient der Klassifizierung der

Waren. Die Kombinierte Nomenklatur wird

jährlich überarbeitet. In der Neuauflage

des Warenverzeichnisses werden die Ände-

rungen zum 1. Januar berücksichtigt. Sämt-

liche Daten können Sie in eigene DV-Sys-

teme zur automatisierten Weiterverarbeitung

übernehmen. Die Übernahme der Daten für

die Erstellung der Ausfuhranmeldung bzw.

Meldungen für die Intrahandelsstatistik

werden somit vereinfacht.

Daten: Die 8-stelligen Daten werden per

Download in allen Amtssprachen der EU

aktuell bereitgestellt.

Sanktionslisten

Durch die Kontrolle anhand der tagesak-

tuellen HADDEX-Sanktionslisten sind Sie

sicher, keine Personen oder Institutionen zu

beliefern, gegen die Sanktionsmaßnahmen

des Gesetzgebers bestehen. Wenn Sie auf die

komfortable Recherche-Funktion der tages-

aktuellen Software HADDEX-Sanktionslisten,

CD-ROM nicht verzichten wollen, können

Sie auch die Web-Anwendung „Sanktions-

liste-Online“ nutzen. Im Downloadcenter des

AW-Portals können Sie nur die Daten Sankti-

onsliste für die automatisierte Weiterverarbei-

tung in einer eigenen Software herunterladen.

Daten: Werden per automatisierbarem

Download tagesaktuell bereitgestellt.

Präferenz-Info-System

Durch kompetente und effektive Umsetzung

des Präferenzrechts in die Datenbank gelan-

gen Sie schnell und unkompliziert zu den

rechtlichen Grundlagen des Präferenzrechts.

Das Präferenz-Info-System hält die notwen-

digen Informationen übersichtlich und opti-

mal strukturiert für Sie bereit: U.a. das Waren-

verzeichnis für die Außenhandelsstatistik, die

zur HS-Position gehörenden Be- und Verar-

beitungslisten inkl. der entsprechenden Alter-

nativregeln.

Daten: Werden per Download aktuell bereit-

gestellt.

Preissegment

Die Preise der einzelnen Datenbanken und Anwendungen sind

abhängig vom Umfang der Nutzung. Gerne erstellen wir Ihnen ein

individuelles – auf Ihre Bedürfnisse zugeschnittenes –Angebot.

Bitte sprechen Sie uns daher direkt an!

Hier finden Sie Ihre Ansprechpartner:

www.aw-portal.de/datenbankendownloadsWir beraten Sie gerne!

Referenzen

Langjährige Zusammenarbeit mit dem Bundesministerium der Finanzen

(BMF) und dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA).

Unsere Daten stehen in verschiedenen Datenformaten zum automati-

sierbarem Download vom Server des Bundesanzeiger Verlags bereit,

zur Verarbeitung in den Anwendungen führender Softwarehäuser, oder

werden bereits von diesen integriert zu Verfügung gestellt.

Bundesanzeiger Verlag GmbH

Anschrift: Kornmarkt 9, 65549 Limburg

Kontakt: Jürgen Melzig

Telefon: +49 (0) 64 31 / 28 91-11

Fax: +49 (0) 64 31 / 28 91-44


Internet: www.bundesanzeiger-verlag.de

www.aw-portal.de/datenbankendownloads

Software

Firmeneinträge


Martin Mantz GmbH

Anschrift: Hansaring 8, 63843 Niedernberg

Kontakt: Geschäftsführer Martin Mantz

Telefon: +49 (0) 06028 / 97919-0

Fax: +49 (0) 06028 / 97919-33


Internet: www.martin-mantz.de

Firmenprofil

Martin Mantz steht für Compliance-

Fachwissen auf höchstem Niveau. Die Unter-

nehmensberatung unterstützt internationale

Betriebe seit 1999 beim Aufbau einer gerichts-

festen Organisation. Das Team, bestehend aus

Juristen und Ingenieuren, erstellt für Unter-

nehmen weltweit individuelle, standortspezi-

fische Rechtskataster mit allen einschlägigen

gesetzlichen Regelwerken. Dabei verzichten

die Experten auf verwirrenden Fachjargon

und formulieren leicht verständliche Hand-

lungsanweisungen für jeden Mitarbeiter.

Der von der Martin Mantz GmbH entwickelte

GEORG Compliance Manager® ist zudem

die Software für die Implementierung eines

Compliance-Management-Systems nach der

neuen ISO-Norm 19600, dem internationalen

CMS-Standard.

Leistungsspektrum / Referenzen

Wir machen das Recht verständlichDie Lektüre des Rechts nehmen wir Ihnen ab: Martin Mantz filtert aus allen rechtlichen und technischen Vorgaben die grundsätzlich für Unternehmen (wiederkehrenden) Pflichten. Diese werden in standardisierten, leicht ver-ständlichen, termingebundenen und aktions- fähigen Handlungspflichten zusammenge-fasst und mit Detailhinweisen zur Verfügung gestellt.

Ihr maßgeschneidertes Rechtskataster Unsere spezialisierten Experten erfassen mit einem Legal-Compliance-Audit vor Ort die für die jeweiligen Rechtsbereiche relevanten Daten und überprüfen stichprobenartig die entsprechenden prozessualen Abläufe sowie Unterlagen. Basierend auf diesen Ergebnis-sen erhält der Kunde sein unternehmensspe- zifisches Rechtskataster mit allen einschlägi-gen rechtlichen Regelwerken sowie den he- rausgefilterten und aufbereiteten Pflichten. Ob technische Regeln, Satzungen, Bundesge-setze oder EU-Verordnungen: Unsere Rechts-module enthalten stets alle einschlägigen Re-gelwerke.

Arbeits- und Umweltschutz

Außenwirtschafts- und Zollrecht

Arbeitsrecht für das Personalwesen

Arzneimittelrecht

Bergrecht

Bodenschutzrecht

Datenschutzrecht

Eisenbahnrecht

Energierecht

Gesellschaftsrecht

Lebensmittel- und Futtermittelrecht

Luftsicherheitsrecht

Medizinprodukterecht

Produktrecht

Sprengstoffrecht

Straßenverkehrsrecht

VdS (Sachversicherer)

Wettbewerbs- und Kartellrecht

ISO-Normen

Genehmigungsmanagement

Betriebssicherheit setzt das Einhalten aller behördlichen Bestimmungen (Genehmi-gungsbescheide, Betriebspläne etc.) voraus. Wir erstellen eine Genehmigungshistorie und filtern die Genehmigungsbescheide hinsicht-lich der behördlich auferlegten (sich wieder-holenden) Plichten. Die gefilterten Pflichten übersetzen unsere Rechtsanwälte anschließend in leicht verständliche Handlungspflichten.

Delegations-WorkshopNach Übergabe des unternehmensspezifischen Rechtskatasters führt die Martin Mantz GmbH mit den leitenden Führungspersonen des Unter-nehmens einen Delegations-Workshop durch. Ziel des Trainings ist es, die Vorausset- zungen einer ordnungsgemäßen Delegation zu vermitteln. Die verantwortlichen Mitar-beiter erlernen, Zuständigkeiten und damit Handlungskompetenzen an untergeordnete Abteilungen rechtssicher zu übertragen.

Rechtliche Entwicklungen Wir verfolgen stets die Entwicklungen im Recht und stellen die Aktualität der rechtlichen Pflichten sicher. Alle zwei Monate informieren wir Sie über die Rechtsentwicklung seit der letzten Aktualisierung, die daraus resultieren-den konkreten Änderungen für das Unterneh-men sowie die zukünftige Rechtsentwicklung.

Aktualisierung des Rechtskatasters Geltendes Recht ist im stetigen Wandel. Unsere Profis aktualisieren daher kontinuierlich den gesamten Inhalt der Rechtsbereiche. Unser Team passt das Rechtskataster des Unterneh-mens bei relevanten rechtlichen oder betrieb-lichen Änderungen alle zwei Monate und bei Bedarf auch unverzüglich an. Ein Durcharbei-ten der gesamten rechtlichen Änderungen ist für die Unternehmen nicht notwendig. Den Betrieben stellen wir nämlich nur die für sie relevanten rechtlichen, technischen Regelwerke samt Pflichten zur Verfügung. Die verantwort-lichen Mitarbeiter der Unternehmen weisen lediglich ihren zuständigen Mitarbeitern die neuen Pflichten zu.

Telefonischer Support –

Stets gut beratenDie Martin Mantz GmbH bietet Unternehmen eine telefonische Beratung zu allen bedienten Rechtsbereichen an. Die telefonische Beratung beantwortet unter anderem allgemeine Fragen zu rechtlich technischen Regelwerken und deren Anwendbarkeit, aber auch zu unterneh-mensspezifischen Handlungspflichten.

GEORG Compliance Management

System®

Einfach, transparent, gerichtsfest: Mit dem GEORG Compliance Management System® geben wir unseren Kunden eine handlungs- orientierte Live-Software an die Hand, die die Firmenleitung bei der Regulierung und Kont-rolle der Compliance-Pflichten und -Tätigkei-ten unterstützt. Mit der Anwendung können Nutzer stets den aktuellen Compliance-Status einsehen und die Einhaltung interner und externer Vorschriften nachweisen. Zugleich gewährt GEORG den Überblick über alle Pflich-ten und Fristen aus Regelwerken, behördlichen Bestimmungen und internen Vorgaben. Die personenzentrierte Zuweisung von Pflichten schafft zudem Transparenz im Unternehmen.

ReferenzenOb Mittelstand oder Global Player: Unterneh-men verschiedenster Branchen und Größen aus dem In- und Ausland profitieren seit Jah-ren von unserem Compliance-Know-how und unserer Beratungsdienstleistung:

Arzneimittel & Medizintechnik

Automotive

Chemie

Energieanlagen

Gas- und Energieversorger

Lebensmittel

Maschinenbau

Rohstoffverarbeitung

Carbon

Kunststoff

Metall

Papier

Stahl

Zement

Software


Makowicz · Wolffgang (Hrsg.)

Rechtsmanagementim UnternehmenPraxishandbuch ComplianceAufbau, Organisation und Steuerung von Integrität

und regelkonformer Unternehmensführung

Unternehmen und WirtschaftUnternehmen und Wirtschaft

Compliance im Überblick!

ISSN 2364-7604, Fachmagazin, ca. 48 Seiten, Format A4, geheftet, Jahresabonnement für 4 Ausgaben im Jahr 129,00 €

www.comply-online.de

ISBN 978-3-89817-749-8, ca. 1200 Seiten, A4, Loseblattwerk, 2 Arbeitsordner, 148,00 €, Aktualisierungen bei Bedarf

www.riu-online.de


DEZEMBER 2015SEITEN 1- 80

ISSN 2364-7604

© S

hive

ndu

Jauh

ari/i

stoc

k.co

m

ESSENTIALS> RISIKENCompliance im AußenwirtschaftsrechtDer internationale Datenverkehr nach Safe Habor

> SOFTSKILLS Compliance als Teil des Internen Kontrollsystems Kommunikation als Grundelement der Compliance-Arbeit

BRANCHE> GESUNDHEITSWESENEin Compliance-Manager in der Notaufnahme?

Ist Compliance Management (k)ein Thema für die gesetzlichen Krankenkassen?

MITTELSTAND> COMPLIANCE-TRAININGE-Learning im Mittelstand?

GLOBAL> SPANIEN


d SicherheitBest Practice für Compliance und

Compliance-Krisenmanagement

IN KOOPERAT ION M IT:

comply_03_20151130.indd 1


IN KOOPERAT ION M IT:


SEPTEMBER 2016SEITEN 1– 80

ISSN 2364-7604

03/2016

Security Compliance

Makowicz · Wolffgang (Hrsg.)

Rechtsmanagementim UnternehmenPraxishandbuch ComplianceAufbau, Organisation und Steuerung von Integrität


Unternehmen und WirtschaftUnternehmen und Wirtschaft

ISBN 978-3-8462-0412-2€ 200,00Die Online-Version finden Sie unter:

www.riu-online.de


Wolffgang · Makowicz

Rechtsmanagement im UnternehmenPraxishandbuch Compliance –Aufbau, Organisation und Steuerung von Integrität


Jetzt

Abonnent

werden!

In Kooperation mit dem Berufsverband der Compli-ance Manager (BCM) e.V. bietet die Compliance Aca-demy mit den CAMPUS DAYS auch eine akademisch-wissenschaftliche Weiterbildungsmöglichkeit mit dem Fokus auf einem interdisziplinären Weiterbildungs-ansatz zur Unterstützung der praktischen Arbeit der Compliance Manager an.

Transfer zwischenWissenschaft und Praxis

DenkenSie bitte an Ihrefrühzeitige Anmel-dung aufgrund derbegrenzten Teil-nehmerzahl.

BCM

CAMPUS DAYS

Praktische Bedeutung und Handhabungfür Compliance-Manager

Konfl ikte und Konfl iktmanagement

25.10.2016 – MÜNSTER || 18.11.2016 – MÜNSTER

Kultur, Werte, Standards undCompliance – ein aktueller Überblick18.09.2016 – MÜNSTER

E-Vergabe – Einfach. Schnell. Sicher.

Das Deutsche Vergabeportal ist Ihr zentraler Online-Marktplatz, wenn es um die Suche nach und die Teilnahme an Ausschreibungen von öffentlichen Aufträgen geht.

Unternehmen können über das Portal voll-elektronisch passende Ausschreibungen

ligen. Den Vergabestellen bietet DTVP die umfassende E-Vergabe und unterstützt Sie bei der elektronischen Durchführung von Vergabeverfahren.

Erweitern Sie Ihr Geschäftsfeld durch öffentliche Aufträge!

Deutsches Vergabeportal

www.dtvp.de

PRAKTIKERSEMINARE:E-Vergabe fürUnternehmen

Nähere Informationen unter www.dtvp.de/praktikerseminare

E-Vergabe-Seminare für Unternehmen!

DTVP BIETERTAG: Öffentliche Aufträge für Unternehmen

Weitere Informationen unter www.dtvp.de/bietertag

Documents

FACHMAGAZIN FÜR COMPLIANCE …...6 News comply. 3/2016 Finanzmarktnovellierungsgesetz − zentrale Meldestelle für Whistleblower Bereits in der Vergangenheit ist die BaFin Insider-Informationen