Embed Size (px)
Citation preview
In dieser Ausgabe finden Sie Beiträge aus den Bereichen:Compliance Inhouse Top 5 | Compliance & Whistleblowing | Compliance International | Compliance & Datenschutz | Compliance & Digitale Forensik | Compliance & IT-Forensik
Ausgabe 2 /Juni 2019www.compliancebusiness-magazin.de
2 // 2 // Inhalt und Editorial
Liebe Leserin, lieber Leser,das Netzwerk von ComplianceBusiness wächst weiter. In dieser Ausgabe begrüßen wir als neue Fachbeiräte Christina Sontheim-Leven, LL.M., Chief Legal und Compliance-Officer bei Postcon Deutschland, sowie Maike Scholz, Senior Expert AT Compliance bei der Deutschen Telekom, sowie Sebastian Lochen, designierten Chief Compliance Officer bei Thyssen Krupp. Willkommen im Club!
In unserer Rubrik „Inhouse Top 5“ berichtet unsere Fachbeirätin Dr. Silke Engel, Associate Director Le-gal bei Coca-Cola European Partners Deutschland, über die fünf Themen, die sie derzeit am meisten beschäftigen.
Das in der Praxis immer wichtiger werdende The-ma Forensik behandeln wir gleich in zwei Beiträ-gen. Lassen Sie sich die Ausführungen von Bodo Meseke und Hanno Baur nicht entgehen! Das gilt ebenfalls für den Artikel von Barbara Scheben, die bei Internal Investigations vor Schrittfehlern im Spannungsfeld zwischen Informationspflichten und Auskunftsrechten nach der DSGVO warnt. Es könnte für Unternehmen sonst teuer werden.
Ihr
Thomas Wegerich
_Compliance Inhouse Top 5 3In a Nutshell:Alles, was führende Compliance-Officer im Blick haben müssenAus der Praxis für die Praxis: Dr. Silke Engel, Coca-Cola Euro-pean Partners Deutschland GmbH
_Compliance & Whistleblowing 5Whistleblowerrichtlinie – Was Unternehmen jetzt zu erwarten habenDie Zeit läuft: Unternehmen ab 50 Mitarbeitern müssen ein Hinweisgebersystem einrichtenVon Dr. André-M. Szesny, LL.M.
_Compliance International 8Kapitalexport und Kapitalflucht aus ChinaRelevanz für Compliance-Officer und Geldwä-schebeauftragte deutscher InstituteVon Matthias Rode, Jennifer Rabener, Carina Schindler und Jessica Krenn
_Compliance & Datenschutz 12Information und Auskunft nach der DSGVO im Rahmen von Internal InvestigationsDie Kollision der Ausnahmevorschriften zu
Informationspflichten des Verantwortlichen mit dem Auskunftsrecht des BetroffenenVon Barbara Scheben
_Compliance & Digitale Forensik 16Schutzlos ausgeliefert?Cybersecurity hat kein Erkenntnisproblem, son-dern ein Handlungsproblem: Risikofaktor MenschVon Bodo Meseke
_Compliance & IT-Forensik 19Complianceanforderungen treiben die Forensic Readiness voranEine Verbesserung der Datenorganisation ist zwin-gend erforderlichVon Hanno Baur
_DICO-Kolumne 22Stellungnahme: Deutsches Institut für Compliance e.V. (DICO) zu dem Referentenentwurf eines Gesetzes zur Umset-zung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie (EU) 2018/843Von Dr. Niklas Auffermann und Dr. Falk Löffler
Kontakte
Fachbeirat . . . . . . . . . . . . . . . . . . . . . 25Ansprechpartner . . . . . . . . . . . . . . . 29
Partner, Kooperations partner und Impressum . . . . . . . . . . . . . . . . 30
Prof. Dr. Thomas WegerichHerausgeber ComplianceBusiness
Ausgabe 2 // Juni 2019
3 // Compliance Inhouse Top 5 Ausgabe 2 // Juni 2019
In a Nutshell:Alles, was führende Compliance-Officer im Blick haben müssen
Aus der Praxis für die Praxis: Dr. Silke Engel, Coca-Cola European Partners Deutschland GmbH, Berlin
In unserer Rubrik „Compliance Inhouse Top 5“ stellen wir Ihnen in loser Folge alle praxisrelevanten Themen vor, die bei führenden Complianceverantwortlichen in Deutschland oben auf der Agenda stehen. In dieser Ausgabe lesen Sie die Top-5-Themen unseres Fachbeirats Dr. Silke Engel, Associate Director Legal / Vorsitzende des Verhaltenskodex-Ausschusses Coca-Cola European Partners Business Unit Germany.
Meine Top-5-Themen sind derzeit:
Etablierung Verhaltenskodex-Ausschuss: Der neue „Coca-Cola European Partners (CCEP) Code of Conduct“ wurde bereits im Frühjahr 2018 für alle Mitar-beiter in zwölf CCEP-Ländern eingeführt, und wir konn-ten – nach erfolgreichem Abschluss der Gespräche mit dem Gesamtbetriebsrat Ende 2018 – diesen einschließ-lich der Hinweisgebersysteme auch in Deutschland für alle Mitarbeiter verbindlich mit zwei begleitenden Gesamtbetriebsvereinbarungen und E-Learning-Tools einführen. Nun ist es wichtig, die vertrauensvolle Zusam-menarbeit in unserem neuen Gremium, dem Verhaltens-kodex-Ausschuss, zur Behandlung potentieller Verstöße zu etablieren.
Awareness schaffen bei Mitarbeitern:Neben den eingeleiteten „klassischen“ Compliance-programmmaßnahmen wie E-Learnings, Apps, Visibi-lity-Maßnahmen an Standorten geht es nun darum,
Bewusstsein für die Regelungen als Teil der täglichen Arbeit bei den Mitarbeitern zu schaffen. Da der Compli-ancebereich in die Legal-Function eingebettet ist, geht dies bei uns Hand in Hand. So beraten wir als Syndikus-anwälte in unserer täglichen Arbeit etwa den Sales-&-Marketing-Bereich zu Kartellrecht, Datenschutz und Anti-Bribery und sensibilisieren damit zugleich für den Verhaltenskodex, wie die dahinterliegenden Policies, etwa zum Datenschutz, und unser Competition-Law-Handbook. Mit dieser Verlinkung in die Beratungspraxis durch Legal haben wir gute Erfahrungen gemacht. Durch die Beratung entlang der gesamten Value-Chain können wir potentielle Risiken – statt „nur“ über Risk-Assessment-Tools – unmittelbar in den Compliancebe-reich „zurückspielen“.
„Code of Conduct Committee Member Meeting“:Um ein Gespür für Trends bei Risikofeldern zu bekom-
men, hilft auch der regelmäßige Best-Practice-Aus-tausch der Verhaltenskodex-Ausschuss-Mitglieder auf europäischer Ebene von Coca-Cola European Partners, die sich aus verschiedenen Bereichen wie Compliance, HR, Internal Controls und Security zusammensetzen, wie nun im Juni in London – mit unter anderem Erörterung der europäischen Auditergebnisse, Planspielen zu Inves-tigations und neuer EU-Whistleblowerrichtlinie.
Compliance und digitale Geschäftsmodelle:Aktuell beraten wir zu Digitalisierungsprojekten unserer Joint Ventures CC Digital GmbH und kollex GmbH. Beson-ders in der Beratung von digitalen Geschäftsmodellen macht es Sinn, frühzeitig einen Complianceschnellcheck auf Datenschutz und Kartellrecht durchzuführen. So
© c12/iStock/Thinkstock/Getty Images
4 // Compliance Inhouse Top 5
© c12/iStock/Thinkstock/Getty Images
Dr. Silke Engel Associate Director Legal, Rechtsanwältin (Syndikusrechtsanwältin) Recht/Immobilien, Berlin
[email protected] www.ccep.com
Ausgabe 2 // Juni 2019
kann man frühzeitig etwaige Red Flags aufzeigen, da auf kleine „agile“ Piloten nach dem „Test-and-learn- Approach“ im Erfolgsfall schnell ein konzernweiter Roll-out folgt. Innerhalb CCEP stellen wir dies über einen europäischen Prozess sicher, den alle Projekte in der Früh-phase durchlaufen und in den ein Schnellcheck imple-mentiert wurde.
„Corporate Governance Compliance Strategies (CGC) 2019“:Compliance im digitalen Wandel ist auch ein Schwer-punkt bei dem bevorstehenden CGC-Kongress 2019 am 24. und 25.06. in Berlin, bei dem wir als Coca-Cola European Partners mit einem Beitrag zum Thema digi-tale Geschäftsmodelle vertreten sind. Möglichkeiten zu Datengewinnung und Datenanalysen werden im Fokus sein.
5 // Compliance & Whistleblowing
EU-Whistleblowerrichtlinie – Was Unternehmen jetzt zu erwarten habenDie Zeit läuft: Unternehmen ab 50 Mitarbeitern müssen ein Hinweis-gebersystem einrichten
Von Dr. André-M. Szesny, LL.M.
Das Europäische Parlament und die Mitgliedstaaten ha-ben sich über Mindeststandards zum Schutz von Whist-leblowern geeinigt und damit die letzten Hürden für ei-ne EU-Whistleblowerrichtlinie beseitigt. Die Endfassung der Richtlinie wurde am 16.04.2019 im Europäischen Parlament angenommen. Ab Inkrafttreten haben die Mitgliedstaaten zwei Jahre Zeit zur Umsetzung in na-tionales Recht. Viele Unternehmen müssen sich darauf einrichten, bald ein Hinweisgebersystem einrichten zu müssen.
Die EU sieht Hinweisgebersysteme als besonders wichti-ges Element eines Compliancemanagementsystems an. Hinweisgebersysteme dienten der Aufdeckung von Ver-stößen gegen das Unionsrecht, die erhebliche Risiken für das Gemeinwohl bergen und damit das öffentliche Inte-resse ernsthaft schädigen. Hinweisgeber müssten daher in eine „privilegierte“ Position gebracht werden, um Ver-
stöße ans Licht zu bringen und so die Rechtsdurchset-zung zu verbessern. Zu diesem Zweck müssten effektive, vertrauliche und sichere Meldekanäle eingerichtet und Hinweisgeber wirksam vor Repressalien geschützt wer-den.
Unternehmen mit 50 oder mehr Beschäftigten werden erfasst
In Deutschland sind bislang nur Kreditinstitute und Wertpapierdienstleister angehalten, Hinweisgebersys-teme einzuführen. Auch nach dem Geldwäschegesetz Verpflichtete sollen Meldekanäle vorhalten. Das wird bald anders: Jedes Unternehmen mit 50 oder mehr Be-schäftigten muss zukünftig eine Whistleblowerhotline haben. Eine zunächst vorgesehene Umsatzschwelle von 10 Millionen Euro wurde kurzfristig wieder gestri-
Die Pflicht zur Einführung von Whistleblowersyste-men wird kommen.
© w
ildpi
xel/
Thin
ksto
ck/G
etty
Imag
es
Ausgabe 2 // Juni 2019
6 // Compliance & WhistleblowingAusgabe 2 // Juni 2019
chen. Auch juristische Personen des öffentlichen Rechts sind von der Pflicht zur Einrichtung einer Whistleblower-hotline betroffen.
Meldungen von Verstößen gegen das Unionsrecht
Die Richtlinie verpflichtet die Mitgliedstaaten zur Im-plementierung von Pflichten zur Einführung von Whist-leblowerhotlines in Unternehmen zur Aufdeckung von Verstößen gegen das Unionsrecht. Genannt werden unter anderem Verstöße gegen den Umweltschutz, gegen die finanziellen Interessen der Union, den Wett-bewerb, das Steuer- und Geldwäscherecht. Es ist zu er-warten, dass die Mitgliedstaaten es bei der Umsetzung der Richtlinie nicht dabei belassen, Verstöße gegen das Unionsrecht in den Anwendungsbereich der nationalen Whistleblowerregelungen zu fassen. Sie werden von ih-rem von der Richtlinie ausdrücklich eingeräumten Recht Gebrauch machen, auch Verstöße gegen nationale Be-stimmungen aufzunehmen. Das EU-Recht macht hier keine besonderen Vorgaben, insbesondere soll sich der Anwendungsbereich ausdrücklich nicht auf straf- oder bußgeldbedrohte Verstöße beschränken. Das wiederum könnte aber zu Friktionen mit der Datenschutzgrundver-ordnung führen.
Schutz vor arbeitsrechtlichen Konsequenzen
Kern der EU-Richtlinie ist der Schutz von Whistleblowern vor zivil- und arbeitsrechtlichen Konsequenzen. Whist-leblower sollen negative Folgen nicht fürchten müssen,
wenn sie Missstände offenlegen. Whistleblower sollen unter anderem geschützt werden vor Suspendierung oder Entlassung, Aufgabenverlagerung oder Versetzung, Gehaltsminderung oder Ausstellung eines schlechten Arbeitszeugnisses, Mobbing oder Diskriminierung, Be-nachteiligung oder Ungleichbehandlung.
Dabei sollen Hinweisgeber die Wahl haben, an wen sie ihre Meldung richten: Eine unter anderem von der Bun-desrepublik Deutschland geforderte Regelung, derzufol-ge ein Whistleblower nur dann Schutz erfahren sollte, wenn er sich zuerst an das Unternehmen und erst bei Erfolglosigkeit dieser Meldung an Behörden und gar die Öffentlichkeit wendet, ist vom Tisch. Der Abkehr von die-sem „Drei-Stufen-Modell“ liegt offenbar die Befürchtung zugrunde, dass (manche) Unternehmen missliebige Hin-weise lieber unter den Teppich kehren als sie aufzuklä-ren. Diesem Risiko wollte die EU nicht Vorschub leisten.
Strafrechtsschutz durch das neue Geschäftsgeheimnisgesetz
Eine strafrechtliche Privilegierung erfahren Whistleblo-wer durch das vor kurzem in Kraft getretene Geschäfts-geheimnisgesetz. Whistleblower dürfen Geschäftsge-heimnisse aufdecken, wenn sie dies im Interesse der Öffentlichkeit tun, ohne eine strafrechtliche Sanktion befürchten zu müssen. Erfasst sind nicht Meldungen von Rechtsverstößen, sondern auch von bloß „unethi-schem Verhalten“. Hier entstehen gewisse Spannungen zu den datenschutzrechtlichen Regelungen, die an eine Verarbeitung personenbezogener Daten im Rahmen
von Hinweisgebersystemen höhere Anforderungen stel-len, je geringfügiger der gemeldete Verstoß ist. Diese Spannungen zwischen Datenschutzgrundverordnung, Geschäftsgeheimnisgesetz und den zukünftigen Whis-tle blowerregelungen werden viel Stoff für arbeits-, ver-waltungs- und strafgerichtliche Urteile bieten.
Die Missbrauchsmöglichkeiten von Whistleblowersyste-men thematisiert die EU-Richtlinie nur in engen Gren-zen. Sachfremd motivierte Meldungen oder gar falsche Verdächtigungen dürften die Schutzwirkungen vor ar-beitsrechtlichen Folgen entfallen lassen und können so-gar strafrechtliche Konsequenzen nach sich ziehen. Auch wird sich der Whistleblower in den seltensten Fällen auf eine Art Wahrnehmung berechtigter Interessen berufen dürfen, wenn er übereilt und ungeprüft wahrheitswid-rige, ehrverletzende oder sachfremd übertriebene Mel-dungen abgibt. Grenzfälle, die zu Streitigkeiten führen werden, dürften irrtümlich falsche Meldungen, Meldun-gen „ins Blaue“, vorsorglich abgegebene oder sonst prä-ventiv motivierte Meldungen darstellen.
Fazit
Die Pflicht zur Einführung von Whistleblowersystemen wird kommen. Die Wirtschaft – jedenfalls Unternehmen mit mehr als 50 Beschäftigten – sollte sich zeitig darauf einrichten. Wichtig ist, bei der Einrichtung und Unterhal-tung des Hinweisgebersystems nicht nur die Vorgaben der EU-Richtlinien, sondern auch die Regelungen der Da-tenschutzgrundverordnung und des Geschäftsgeheim-nisgesetzes zu beachten. Nicht zu vergessen sind
7 // Compliance & Whistleblowing
arbeitsrechtliche Aspekte, etwa mögliche Mitbestim-mungsrechte.
Unternehmen sollte der Wegfall des von Deutschland fa-vorisierten, letztlich aber abgelehnten „Drei-Stufen-Mo-dells“ nicht grämen: Sie haben es selbst in der Hand, ihr Hinweisgebersystem so zu gestalten, dass Missbrauch erschwert wird und Whistleblower sich zunächst an in-terne Stellen und nicht etwa an die Presse wenden. Eine gesunde Compliancekultur und Vertrauen der Beleg-schaft in die sachgerechte Behandlung von Remonstra-tionen führen dazu, dass Mitarbeiter Missstände nicht veröffentlichen, sondern sich an die im Unternehmen zuständigen Stellen wenden.
Dr. André-M. Szesny
LL.M., Rechtsanwalt, Partner, Heuking Kühn Lüer Wojtek, Düsseldorf
[email protected] www.heuking.de
Ausgabe 2 // Juni 2019
ANZEIGE
COMPLIANCEdigitalDatenbankJahresabonnement für nett o € (D) 24,95/Monat als Jahresrechnung von € (D) 356,28 inkl. 19% USt.ISBN 978-3-503-11626-3
Erich Schmidt Verlag GmbH & Co. KG Genthiner Str. 30 G · 10785 Berlin Tel. (030) 25 00 85-227 · Fax (030) 25 00 85-275 [email protected] · www.ESV.info
100% ComplianceCOMPLIANCEdigital bietet Ihnen ein exzellentes integriertes Medienpaket zum gesamten Themenspektrum der Compliance und angrenzender Schwer-punkte. Recherchieren Sie in über 7.000 Dokumenten.
O Mehr als 240 eBooks zu Compliance und angrenzenden Schwerpunkten
O Impulsgebend – 6 eJournals: ZRFC, PinG, WiJ, ZCG, ZIR und ZfC – jeweils inklusive Online-Archiv
O Arbeitshilfen wie Checklisten, Leitfäden, Vorlagen
O News und Servicefeatures – Rechtsprechung, Nachrichten der ESV-Redaktion, Interviews, Tagungsberichte, Studienergebnisse, Stellenmarkt, Literatur- und Veranstaltungstipps.
Lassen Sie sich überzeugen: www.COMPLIANCEdigital.de
COMPLIANCEdigital_Anzeige_130x163_4c.indd 1 06.05.2019 14:25:21
8 // Compliance International
Kapitalexport und Kapitalflucht aus ChinaRelevanz für Compliance-Officer und Geldwäschebeauftragte deutscher Institute
Von Matthias Rode, Jennifer Rabener, Carina Schindler und Jessica Krenn
Sorgfaltspflichten am Beispiel von Konten chinesischer Kunden
Im Umfeld von immer strenger werdenden Know-Your-Customer-Anforderungen (KYC-Anforderungen) stehen Banken vor der Herausforderung der korrekten und voll-umfänglichen Identifizierung von Kunden und Business Partnern. Kommen dann zusätzlich zu den komplexen und umfangreichen regulatorischen Anforderungen weitere Hürden bei der Kontaktaufnahme, Informations-beschaffung oder Dokumentation hinzu, beispielsweise im Fall von Kunden aus dem Ausland, werden die Pro-zesse zur Informationsbeschaffung und Validierung der Korrektheit der Informationen zunehmend komplexer. Ein mögliches Beispiel für eine solche Fallkonstellation ist die Identifikation von chinesischen Geschäftskunden sowie deren zugehörigen Geschäftsführern und verbun-denen Personen (zum Beispiel wirtschaftlich Berechtig- ten oder Vertretungsbefugten) bei einer Kontoeröff-nung. Für diese Kundengruppe können im Rahmen des Kontoeröffnungsprozesses und der damit verbundenen KYC-Anforderungen folgende Herausforderungen auf die kontoeröffnende Bank zukommen:
Die Herausforderung für die be-troffenen Institute besteht darin, ihr Risikomanagement auf die spezifischen Anforderungen chi-nesischer Investoren auszurichten.
© R
awf8
/Thi
nkst
ock/
Get
ty Im
ages
Ausgabe 2 // Juni 2019
9 // Compliance InternationalAusgabe 2 // Juni 2019
Um aus China heraus in den deutschen oder europäi-schen Markt zu expandieren, gründen chinesische Fir-men zum Beispiel eine GmbH in Deutschland. Für die Gründung und Eintragung dieser Gesellschaft wird un-ter anderem ein Geschäftskonto benötigt, und es muss das erforderliche Stammkapital – im Fall einer GmbH-Gründung 25.000 Euro – bereitgestellt werden. Zur Er-öffnung eines Geschäftskontos ist die Identität der be-teiligten juristischen und natürlichen Personen durch die kontoeröffnende Bank zu erfassen und zu prüfen. Ne-ben der sprachlichen Barriere, welche zur Vertretung des eigentlichen Kunden durch einen notariell Beauftragten führen kann und so den direkten Kundenkontakt bereits erschwert, spielen auch die aufwändige Informations-beschaffung angesichts komplexer Vermögens- und Unternehmensstrukturen sowie die Überprüfung der Mittelherkunft eine zentrale Rolle. Bei der persönlichen Legitimation der Geschäftsführer und Verfügungsbe-rechtigten und der Einholung aller zur Kontoeröffnung notwendigen Dokumente stellen die persönliche Ver-fügbarkeit der zu identifizierenden Personen, die Do-kumente in fremder Sprache und die Beschaffung und Bewertung benötigter Registerauszüge eine besondere Herausforderung dar und erfordern vertiefte Kenntnisse bei den verantwortlichen KYC-Analysten.
Der Umgang mit diesen Herausforderungen hat maß-geblich Einfluss auf die Risikoexposition der kontoeröff-nenden Bank.
Doch wie groß ist die Bedeutung dieses Themas für deutsche Institute, und mit welchen Maßnahmen kön-
nen Banken diesen komplexen Strukturen und Anforde-rungen begegnen?
Die bekannten Fakten
Keine andere große Volkswirtschaft der Welt ist in den vergangenen Jahren so schnell gewachsen wie China. Seit Chinas wirtschaftlicher Öffnung ist das Land zu ei-nem der weltweit wichtigsten Handelspartner gewor-den. Die steigende global-wirtschaftliche Verflechtung mit China führte vor allem in den vergangenen Jahren dazu, dass die Märkte zunehmend sensibler auf nega-tive Wirtschaftsprognosen aus China reagieren. In den vergangenen Monaten dominierte vor allem ein Thema die Wirtschaftsnachrichten weltweit: der anhaltende und sich immer weiter zuspitzende Handelsstreit zwi-schen den USA und China. Dieser hat nicht nur Folgen für Chinas Wirtschaftswachstum und die internationa-len Handelsbeziehungen beider Länder, sondern könnte nicht zuletzt auch zu einer neuen Welle der Kapitalflucht führen. Seit Beginn des Handelsstreits hat sich nicht nur Chinas Wirtschaftswachstum bereits spürbar verlang-samt, sondern auch die Kapitalabflüsse haben wieder deutlich zugenommen.
Bereits in den Jahren 2015/16 führten der Wertverfall des Yuan und eine in China implementierte Antikorruptions-Kampagne zu einer Kapitalfluchtwelle aus China. Die Nettokapitalabflüsse erreichten in diesen Jahren Rekord-höhen: 2015 haben 675 Milliarden US-Dollar (knapp 590 Milliarden Euro) und 2016 sogar 725 Milliarden US-Dollar (knapp 630 Milliarden Euro) das Land verlassen. Finanz-
mittel sind dabei größtenteils in Immobilien und Luxus-güter geflossen, unter anderem in die USA, Kanada und Australien. Um die Kapitalflucht einzudämmen, hat die regierende Volkspartei seitdem strenge Kapitalkontrol-len und Beschränkungen für Auslandsinvestitionen im-plementiert, wodurch Kapitalabflüsse und „irrationale" Investitionen außerhalb Chinas (vor allem Käufe von Im-mobilien, Aktien und Versicherungen) gezügelt werden sollten. Doch es gibt Anzeichen dafür, dass die umge-setzten Maßnahmen die Fortführung der Kapitalflucht nicht zu verhindern vermögen. Eine solche Welle kann signifikante Folgen auch für Deutschland haben, zumal der Immobilienmarkt hierzulande besonders attraktiv für ausländische Investoren ist.
Relevanz für Deutschland und deutsche Banken
Seit der ersten Kapitalfluchtwelle im Jahr 2015 verliert eine steigende Zahl der Vermögenden aus der chine-sischen Mittel- und Oberschicht zunehmend das Ver-trauen in die wirtschaftliche Entwicklung ihres Landes. Durch den anhaltenden Handelskonflikt mit den USA spitzt sich die Lage aktuell noch weiter zu. Vor dem Hin-tergrund eines erwarteten weiteren Wertverlusts des Yuan sind viele chinesische Investoren auf der Suche nach sicheren Investitionsmöglichkeiten im Ausland. Hinzu kommt, dass in vielen Großstädten Chinas die Preise signifikant ansteigen und Familien nur eine ein-zige Immobilie zur Selbstnutzung erwerben dürfen – die logische Folge ist, dass sich Anleger nach Alternativen umsehen. Aktuell zählen mehr als 100 Millionen Chine-sen zur Mittelschicht, laut einer Studie sollen dieser
10 // Compliance InternationalAusgabe 2 // Juni 2019
im Jahr 2022 jedoch bereits 76 Prozent der chinesischen Stadtbevölkerung angehören – das wären mehr als 550 Millionen Menschen, die sich potentiell in naher Zukunft nach solchen Alternativen umsehen werden. Neben den USA, Kanada und Australien ist auch Deutschland in den Fokus chinesischer Anleger gerückt. In den vergangenen Jahren sind deutsche Wohnimmobilien zum begehrten Anlageobjekt geworden, unter den internationalen Im-mobilienkäufern befinden sich neben US-Amerikanern vor allem wohlhabende Chinesen. Deutschland ist der-zeit sogar das beliebteste Immobilienanlageziel für chi-nesische Investoren in Europa, die Zahl der an Chinesen verkauften Wohnungen soll sich beispielsweise in Frank-furt am Main von 2015 auf 2016 bereits verdoppelt ha-ben.
Trotz strenger nationaler Kapitalkontrollen scheinen die Geldflüsse aus China zuzunehmen. Grund dafür ist auch der Umstand, dass willige Investoren oft einem halblega-len oder illegalen Weg folgen, ihr Geld an den staatlichen Kontrollen vorbeizuschleusen – beispielsweise durch Smurfing (hierbei wird die Überweisung eines hohen Geldbetrags durch Stückelung in mehrere kleine Trans-aktionen verschleiert), „Geldwechsler", Untergrundban-ken oder durch das Verstecken von privaten Geldern in legitimen geschäftlichen Transaktionen. Dabei sind die Immobilienmärkte dieser Welt zwar ein beliebtes Ziel, jedoch fließt ein Großteil des täglichen Transaktionsvo-lumens zunächst durch Finanzinstitute, bevor das Geld schlussendlich investiert wird. Aus dieser Vorgehenswei-se ergeben sich verstärkte Risiken für deutsche Finanzin-stitute, denn diese müssen ihren Know-Your-Customer- und Enhanced-Due-Diligence-Pflichten nachkommen.
Konsequenzen aus Compliancesicht
Die Annahme chinesischer Kunden birgt Herausforde-rungen, häufig sind die folgenden Punkte dabei beson-ders zu beachten:
• Vermögensstrukturen: Vor allem wohlhabende Chine-sen haben oft komplizierte Vermögensstrukturen mit Investitionen in zahlreichen Ländern und Finanzinsti-tuten. Hinzu kommt, dass die Geldbewegungen nicht immer nachvollziehbar sind – vor allem die Frage, wie das Geld China verlassen hat, bleibt häufig unbeant-wortet. Auch bezüglich der ursprünglichen Herkunft des Vermögens sind Kunden nicht immer auskunfts-freudig, oft liegen lediglich Begründungen wie „Fami-lienerbe“ oder „selbst erwirtschaftetes Vermögen“ vor.
• Mangelhafte Dokumentation: Die Legitimation und KYC-Dokumentation ist bei chinesischen Kunden oft mit Mängeln behaftet. So werden zum Beispiel die vor-gelegten Legitimationspapiere nicht vollständig erfasst oder eventuell zu leistende Unterschriften lediglich durch einen Notar in Vertretung geleistet. Zudem wird für Firmenkunden in China eine Vielzahl unterschiedli-cher Handelsregister geführt. Für ausländische Finanz-institute, die mit diesen Registern nicht zwangsläufig vertraut sind, ist nicht ohne weiteres ersichtlich, wo und wie notwendige Informationen abgerufen werden können. Zudem wird die Mehrheit der Handelsregister in chinesischer Sprache geführt.
• Eingeschränkter Zugriff: China ist bekanntermaßen restriktiv, was die Herausgabe von sensiblen privaten
Daten und Dokumenten betrifft. Der Zugriff auf chi-nesische Namens- oder auch Handelsregister für Fir-menkunden ist aus Deutschland teils nicht oder nur sehr eingeschränkt möglich, bestimmte Informationen sind nicht öffentlich zugänglich. Auch öffentliche Re-cherchen zu natürlichen Personen werden durch den eingeschränkten Zugriff auf chinesische Webseiten be-einträchtigt.
• PePs: Verbindungen zu politisch exponierten Personen oder anderweitig einflussreichen Persönlichkeiten Chi-nas sind häufig nur schwer nachzuweisen und werden bei der Kundenannahme gern vom Kunden verschwie-gen. Für deutsche Finanzinstitute ist es oftmals schwie-rig, den politischen Einfluss jener Personen sowie das damit verbundene Risiko für die Bank nachzuvollziehen und einzuschätzen.
• Name Screening: Die Überprüfung chinesischer Na-men resultiert erfahrungsgemäß in einer höheren Anzahl an False Positives, was eine tiefergehende und zeitaufwendige Prüfung nach sich zieht – mit teils er-heblichen Auswirkungen auf die Kosten der Enhanced-Due-Diligence-Prozesse.
• Kommunikation: Bei Kunden, die ihren Wohnsitz in ihrem Heimatland haben oder weder Englisch noch Deutsch sprechen, kann es zu Schwierigkeiten in der Kommunikation kommen, was wiederum zu Proble-men bei der Pflege der Datenqualität führt.
11 // Compliance International
Lösungswege
Die Herausforderung aus den geschilderten Sachver-halten für die betroffenen Institute besteht darin, ihr Risikomanagement auf die spezifischen Anforderungen chinesischer Investoren auszurichten. Dies erfordert ei-ne vertiefte Kenntnis, welche ausländischen Ausweispa-piere als geeignete Dokumente im Sinne des § 12 Abs. 1 Nr. 1 GwG in Frage kommen, wie Abfragen bei chinesi-schen Registern durchzuführen sind, wie deren Gleich-wertigkeit in Bezug auf deutsche Register zu beurteilen ist, welche Maßnahmen zur Bestimmung der Herkunft von Vermögenswerten angemessen sind und welche Geldwäschetypologien im Zusammenhang mit Kapital-exporten aus China vorliegen. Auch eine Kenntnis der chinesischen Sprache beziehungsweise ihrer Dialekte kann im Einzelfall erforderlich werden.
Jessica Krenn
Consultant Financial Advisory/Forensic, De-loitte GmbH Wirtschaftsprüfungsgesellschaft, Frankfurt am Main
[email protected] www.deloitte.de
Carina Schindler
Senior Manager Forensic, Deloitte GmbH Wirtschaftsprüfungsgesellschaft, Frankfurt am Main
Jennifer Rabener
Senior Manager Forensic, Deloitte GmbH Wirtschaftsprüfungsgesellschaft, München
Matthias Rode
Partner und Leiter der Service Line Forensic, Deloitte GmbH Wirtschaftsprüfungsgesell-schaft, Frankfurt am Main
Ausgabe 2 // Juni 2019
12 // Compliance & Datenschutz
Information und Auskunft nach der DSGVO im Rahmen von Internal InvestigationsDie Kollision der Ausnahmevorschriften zu Informationspflichten des Verantwortlichen mit dem Auskunftsrecht des Betroffenen
Von Barbara Scheben
Unternehmensinterne Ermittlungen oder auch „Internal Investigations“ sind ein wesentlicher Bestandteil der Governance moderner Unternehmen. Sollten die Pläne bezüglich der Einführung eines ganzheitlichen Un-ternehmensstrafrechts in die Tat umgesetzt werden, stiege die Bedeutung dieser Internal Investigations noch einmal merklich an. Schließlich steht unter anderem im Raum, dass Unternehmen durch Strafmilderungen belohnt werden, wenn sie durch interne Untersuchun-gen zur Aufklärung des Sachverhalts beitragen.
Für die gesetzeskonforme Durchführung von Internal Investigations sind insbesondere datenschutzrechtliche Belange zu berücksichtigen, da personenbezogene Da-ten Kern einer jeden Investigation sind. Mit der seit Mai 2018 unmittelbar anwendbaren EU-Datenschutzgrund-verordnung (DSGVO) ist der europäische Datenschutz in erheblichem Maß reformiert worden. Damit einher-gegangen sind neue Fragestellungen, zum Beispiel, inwieweit der Betroffene einer Internal Investigation
über die stattfindenden Maßnahmen informiert wer-den muss oder hierüber Auskunft verlangen kann. Die DSGVO und das sie ergänzende und konkretisierende
Bundesdatenschutzgesetz (BDSG) sehen hierzu einige Regel- und Ausnahmetatbestände vor.
Unternehmen sind nicht dazu verpflichtet, den Betroffenen zu informieren, wenn dies die Gel-tendmachung, Ausübung oder Verteidigung (zivil-)rechtlicher Ansprüche beeinträchtigen würde.
© h
ttp:
//w
ww
.foto
gest
oebe
r.de/
Thin
ksto
ck/G
etty
Imag
es
Ausgabe 2 // Juni 2019
13 // Compliance & DatenschutzAusgabe 2 // Juni 2019
Urteil des Landesarbeitsgerichts Baden-Württemberg
Jüngst hatte sich das Landesarbeitsgericht Baden-Würt-temberg (LArbG) mit einer solchen Frage zu befassen (LArbG Baden-Württemberg, Urteil vom 20.12.2018, 17 Sa 11/18). Im Rahmen eines Kündigungsschutzverfahrens hatte der Kläger unter anderem Einsicht in die Akte zu ei-nem ihn betreffenden „Compliancecheck“ verlangt und sein Auskunftsrecht gemäß Art. 15 DSGVO gegenüber seinem Arbeitgeber geltend gemacht.
Ohne im Detail auf die Ausführungen des LArbG ein-zugehen, zeigt das Urteil, welch mächtiges Instrument derartige Auskunftsverlangen für den Betroffenen einer Internal Investigation sein können. So wurde dem Klä-ger nicht nur arbeitsrechtlich ein Einsichtsrecht gemäß § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz in die betref-fende Akte mit dem Hinweis gewährt, diese sei Teil der Personalakte, sondern die Dokumente stünden auch in einem inneren Zusammenhang mit dem Arbeitnehmer. Darüber hinaus wurde auch der Auskunftsanspruch ge-mäß Art. 15 DSGVO bejaht. Zudem sei der Arbeitgeber zur Übergabe einer Kopie gemäß Art. 15 Abs. 3 DSGVO verpflichtet.
Bemerkenswert sind bereits die Ausführungen des LArbG zur Reichweite des Auskunftsanspruchs und sei-ner Bestimmtheit. Der Kläger hatte die Herausgabe der über ihn verarbeiteten Leistungs- und Verhaltensdaten verlangt. Das Gericht hielt damit eine ausreichende Kon-kretisierung im Sinne des Erwägungsgrunds 63 S. 7 der DSGVO für gegeben, was in ersten Urteilsbesprechun-
gen durchaus auf Kritik gestoßen ist (Kielkowski/Zöll, ju-risPR-Compl 2/2019 Anm. zu LArbG Stuttgart 17. Kammer, Urteil vom 20.12.2018, 17 Sa 11/18). Gleichzeitig verneinte es das Bestehen von Ausnahmen des Auskunftsrechts. Insbesondere das von der Beklagten angeführte Ge-heimhaltungsinteresse von Hinweisgebern sei zu allge-mein gehalten gewesen.
Inwieweit sich andere Gerichte an dieser Entscheidung orientieren, bleibt abzuwarten. Das LG Köln geht in Sa-chen Reichweite des Auskunftsanspruchs einen etwas anderen Weg (LG Köln, Urteil vom 18.03.2019 - Az.: 26 O 25/18, wonach sich der Auskunftsanspruch nicht auf sämtliche internen Vorgänge der Beklagten wie etwa Vermerke bezieht. Auch rechtliche Bewertungen oder Analysen stellten insofern keine personenbezogenen Daten in diesem Sinne dar). Dennoch besteht nach dem Urteil des LArbG Anlass, sich das Recht auf Auskunft, die Pflicht zur Information und die zugehörigen Ausnahme-tatbestände für den Fall von Internal Investigations ge-nauer anzuschauen.
Informationspflicht und Recht auf Auskunft – Regeln und Ausnahmen
Die DSGVO statuiert die Pflicht zur Information des Be-troffenen im Fall der Direkterhebung personenbezoge-ner Daten in Art. 13 DSGVO. Werden personenbezogene Daten hingegen nicht direkt bei dem Betroffenen erho-ben, ergibt sich die Pflicht zur Information aus Art. 14 DSGVO. Gemäß Art. 13 Abs. 1 DSGVO sind dem Betrof-fenen unter anderem Name und Kontaktdaten des Ver-
antwortlichen, die Zwecke der Verarbeitung sowie die Empfänger der personenbezogenen Daten mitzuteilen. Zusätzlich ist er gemäß Art. 13 Abs. 2 DSGVO unter ande-rem auf die Speicherdauer und seine Betroffenenrechte hinzuweisen.
Im Fall einer dem ursprünglichen Erhebungszweck frem-den Weiterverarbeitung hat der Verantwortliche gemäß Art. 13 Abs. 3 DSGVO den Betroffenen über den Zweck der Weiterverarbeitung und die weiteren relevanten Informationen gemäß Abs. 2 zu unterrichten. Die Infor-mationspflichten nach Art. 14 DSGVO entsprechen dem weitestgehend.
Korrespondierend dazu hat der Betroffene nach Art. 15 DSGVO ein Recht auf Auskunft sowie auf Kopie. Dieses beinhaltet unter anderem die Auskunft über den Verar-beitungszweck, die Empfänger der personenbezogenen Daten, die Speicherdauer sowie die Betroffenenrechte. Mit dem Recht auf Auskunft wird dem Betroffenen also Zugang zu den Informationen eröffnet, die der Verant-wortliche ihm im Wege der Informationspflicht hätte zur Verfügung stellen müssen.
Ausnahmetatbestände im Überblick
Sowohl zu den Informationspflichten als auch zu dem Recht auf Auskunft existieren jedoch Ausnahmen in DSGVO und BDSG. Die nachfolgende Übersicht fasst die Ausnahmetatbestände zusammen, die im Rahmen einer Internal Investigation im Wesentlichen relevant werden können.
14 // Compliance & DatenschutzAusgabe 2 // Juni 2019
Pflicht/Recht
Artikel/ Paragraph Ausnahme
Text Ausnahme
Informati-onspflicht bei Direkt-erhebung
Art. 13 Abs. 4 DSGVO
Informationspflicht entfällt, wenn der Betroffene bereits
über die Informationen verfügt.
§ 32 Abs. 1 Nr. 4 BDSG
Informationspflicht besteht bei beabsichtigter Weiter-
verarbeitung nicht, wenn die Informationserteilung die
Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen
des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen
Person überwiegen.
Informati-onspflicht bei Nicht-direkter-hebung
Art. 14 Abs. 5 a) DSGVO
Informationspflicht entfällt, wenn der Betroffene bereits
über die Informationen verfügt.
Art. 14 Abs. 5 b) DSGVO
Informationspflicht entfällt, wenn sich die Informationser-teilung als unmöglich erweist
oder einen unverhältnismäßigen Aufwand erfordern würde.
§ 29 Abs. 1 S. 1 BDSG
Informationspflicht entsteht nicht, soweit durch ihre Erfül-lung Informationen offenbart
würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten
Interessen eines Dritten, geheim gehalten werden müssen.
§ 33 Abs. 1 Nr. 2 a) BDSG
Informationspflicht besteht nicht, wenn Informationser-
teilung die Geltendmachung, Ausübung oder Verteidigung
zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus
zivilrechtlichen Verträgen bein-haltet und der Verhütung von
Schäden durch Straftaten dient, sofern nicht das berechtigte
Interesse der betroffenen Person an der Informationserteilung
überwiegt.
Pflicht/Recht
Artikel/ Paragraph Ausnahme
Text Ausnahme
Auskunfts-recht so-wie Recht auf Kopie
Art. 15 Abs. 4 DSGVO
Das Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beein-
trächtigen.
§ 29 Abs. 1 S. 2 BDSG
Das Recht auf Auskunft besteht nicht, soweit durch die Auskunft
Informationen offenbart würden, die nach einer Rechts-
vorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten
Interessen eines Dritten, geheim gehalten werden müssen.
Bei näherer Betrachtung der Ausnahmetatbestände fällt auf, dass hier allerdings kein Gleichlauf besteht. So kann beispielsweise eine Ausnahme von der Informations-pflicht bestehen, wenn durch die Erteilung der Informa-tion die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigt würde. Eine derartige Ausnahme findet sich mit Blick auf das Recht auf Auskunft allerdings nicht. (Bemerkenswert ist auch die Unterscheidung nach „rechtlichen Ansprüchen“ in § 32 Abs. 1 Nr. 4 BDSG und „zivilrechtlichen Ansprüchen“ in § 33 Abs. 1 Nr. 2 a) BDSG.) Aber kann es sein, dass man einerseits nicht aktiv über eine Verarbeitung informie-ren muss, andererseits aber auf Nachfrage zur Auskunft verpflichtet ist? Ufert der Auskunftsanspruch also fast schrankenlos aus?
Beeinträchtigung anerkannter Geschäftszwecke nach aktueller Rechtslage
In dieser Hinsicht ist ein Blick auf die alte Rechtslage interessant. Die Ausnahmetatbestände des BDSG-alt fielen nämlich deutlich weiter aus als nun unter dem Regime der DSGVO.
Für Datenerhebungen, die nicht bei dem Betroffenen stattgefunden haben, war schon der Ausnahmenkatalog des § 33 Abs. 2 BDSG-alt auf den ersten Blick wesent-lich umfangreicher. Im Rahmen von Internal Investiga-tions war insbesondere § 33 Abs. 2 Nr. 7 b) a.F. relevant. Demnach bestand eine Pflicht zur Benachrichtigung des Betroffenen nicht, wenn die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt.
Mit Blick auf das Auskunftsrecht verwies § 34 Abs. 7 BDSG a.F. ausdrücklich auf einige Ausnahmetatbestände des § 33 Abs. 2 BDSG a.F., insbesondere auch auf den genann-ten § 33 Abs. 2 Nr. 7 b). Gab es keine Pflicht zur Benach-richtigung über eine Verarbeitung, so gab es auch kein dementsprechendes Recht auf Auskunft. Somit bestand nach der alten Rechtslage ein Gleichlauf bei der Pflicht zur Information (Benachrichtigung) und dem Recht auf Auskunft.
Ein solcher Gleichlauf sollte wohl ursprünglich auch in das BDSG-neu übernommen werden (BT Drucks. 18/11325 vom 24.02.2017, S. 34 f. und S. 104 zu § 34, betreffend die Ausnahme aufgrund einer erheblichen Gefährdung
15 // Compliance & Datenschutz
der Geschäftszwecke des Verantwortlichen), ging aber im Laufe des Gesetzgebungsverfahrens verloren (BT Drucks. 18/12084 vom 25.04.2017, S. 8).
Es stellt sich somit die Frage, ob der fehlende Gleich-lauf im Rahmen des Regel-Ausnahmeverhältnisses von DSGVO und BDSG-neu ein Versehen darstellt, das beho-ben werden sollte. Aktuell führt dies nämlich im Rahmen von Internal Investigations zu folgendem paradoxen Er-gebnis: Unternehmen sind nicht dazu verpflichtet, den Betroffenen zu informieren, wenn dies die Geltendma-chung, Ausübung oder Verteidigung (zivil-)rechtlicher Ansprüche beeinträchtigen würde. Gleichwohl müssten sie diese Informationen aber im Rahmen eines Aus-kunftsverlangens zur Verfügung stellen.
Fazit
Wer sich intensiver mit Informationspflicht und Aus-kunftsrecht auseinandersetzt, muss feststellen, dass die aktuelle Rechtslage durchaus komplex und zum Teil auch gegenläufig ist. Man kann sich fragen, ob dieses Ergebnis vom Gesetzgeber beabsichtigt war. Unterneh-men werden sich mit dieser Situation sorgsam ausein-andersetzen müssen. Es ist in jedem Fall anzuraten, die Informationspflichten, das Bestehen des Rechts auf Aus-kunft und die jeweiligen Ausnahmetatbestände sorg-sam zu prüfen. Schrittfehler an dieser Stelle sind nämlich geeignet, den weiten Bußgeldrahmen des Art. 83 Abs. 5 DSGVO zu eröffnen.
Barbara Scheben
Rechtsanwältin, Partner Compliance & Forensic, KPMG AG, Frankfurt am Main
[email protected] www.kpmg.de/forensic
Ausgabe 2 // Juni 2019
16 // Compliance & Digitale Forensik
Schutzlos ausgeliefert?Cybersecurity hat kein Erkenntnisproblem, sondern ein Handlungsproblem: Risikofaktor Mensch
Von Bodo Meseke
Wurde Ihr Unternehmen schon einmal gehackt? Falls ja, wissen Sie, dass klassische Schutzmaßnahmen wie Firewalls nicht ausreichen. Falls nein, sollten Sie sich dar-auf vorbereiten, dass es jederzeit passieren kann.
„Heute gibt es nur noch zwei Arten von Unternehmen: jene, die wissen, dass sie gehackt wurden, und jene, die das noch feststellen werden.“ Dieser Satz des früheren FBI-Direktors James Comey ist nach wie vor hochaktuell. Um es deutlich zu sagen: Einen 100%igen Schutz gibt es nicht und wird es vermutlich nie geben. Dies ist jedoch kein Grund zu resignieren. Denn auch Ihr Unternehmen kann sich gegen Cybergefahren wappnen. Sie sollten das Thema nur zügig angehen.
Cybersecurity wird immer wichtiger – das gilt für alle Branchen und Geschäftsbereiche. Wer der Ansicht ist, dass Hackerangriffe nur virtuellen Schaden anrichten, hat die vergangenen Jahre verschlafen. Denn das ist längst nicht mehr so: Als Hacker zum Beispiel die Steue-rung eines Hochofens bei einem deutschen Stahlherstel-ler kaperten, hat sich das unmittelbar auf die laufende Produktion ausgewirkt. Dabei kam dieser Angriff keines-falls aus dem Nichts: Mitarbeiter erhielten gefälschte E-Mails, sogenanntes Spear-Phishing, und so hackten
die Angreifer das Büronetzwerk der Fabrik. Von dort aus arbeiteten sie sich bis zu den netzgebundenen Steuer-anlagen vor, und es gelang ihnen, diese während des laufenden Betriebs zu manipulieren. Ein Hochofen ließ sich dadurch nicht geregelt herunterfahren, wodurch die Anlage stark beschädigt wurde.
Was lernen wir daraus? Der Faktor Mensch bleibt neben technischen Aspekten ein großes Risiko und Einfalls-tor. Klassische Sicherheitsmaßnahmen scheitern, wenn Mitarbeiter Zugangsinformationen weitergeben oder unbedarft auf verlockende Mailanhänge klicken. Solche Angriffe können nur abgewehrt werden, wenn die
Das Thema Cybercrime ist aktuell wie nie und hat sich mittlerweile zu einem illegalen Wirtschaftszweig ausgewachsen, denn Kri-minalität im Internet ist vor allem eines: extrem lukrativ.
© H
YWAR
DS/
Thin
ksto
ck/G
etty
Imag
es
Ausgabe 2 // Juni 2019
17 // Compliance & Digitale ForensikAusgabe 2 // Juni 2019
Aufgaben und Funktionen risikokritischer Abteilungen strikt getrennt bleiben.
Erkenntnis- oder Handlungsproblem?
Die Sicherheitsmaßnahmen reichen noch lange nicht aus – dessen sind sich auch Firmen in Deutschland be-wusst, die Vorreiter der Technologiebranche. Das belegt eine EY-Studie aus dem Jahr 2017 (Datenklau: Virtuelle Gefahr, echte Schäden. Eine Befragung von 450 deut-schen Unternehmen). Cybersecurity hat ganz offen-sichtlich kein Erkenntnisproblem, sondern vielmehr ein Handlungsproblem. Führungskräfte wissen, dass es Si-cherheitslücken gibt, trotzdem reagieren sie zu wenig. Für manche Entscheider ist Cybersecurity nach wie vor ein reines Technikthema, das zwar mit jedem bekannt gewordenen Angriff kurz hochkocht, dann aber rasch wieder von der Agenda verschwindet. Dass auch die ei-gene Organisation massiv gefährdet ist, scheint in den Köpfen der Chefs nicht nachhaltig präsent zu sein.
Denn Führungskräfte stecken in einem Dilemma: Ausga-ben für IT-Sicherheit werfen keine Gewinne ab, jedenfalls nicht auf den ersten Blick. In der Logik kurzfristiger Profi-tabilität ist der Aufbau einer Cybersecurity-Infrastruktur also unattraktiv. Prävention, Schutz und Vorsicht waren noch nie wirklich sexy. Dabei kostet ein Datenleck Un-ternehmen im Schnitt rund 3 Millionen Euro, wie das Po-nemon-Institut in einer Studie zu Cyberrisiken errechnet hat. Oft nämlich dauert es mehrere Wochen, bis sich der Betriebsablauf nach einem Angriff wieder normalisiert.
Digitale Vernetzung – Chance und Risiko
Hinzu kommt Folgendes: Im Zuge der Datenschutz-grundverordnung (DSGVO) können Strafen von bis zu 4 Prozent des Jahresumsatzes verhängt werden, wenn sich etwa bei einem Datenleck herausstellt, dass Unter-nehmen falsch auf Bedrohungen reagiert haben. Abge-sehen davon, ist die Frage nach Datensicherheit ganz grundsätzlich mit dem Ziel einer langfristig gesunden Unternehmensentwicklung verbunden.
Nicht nur Nationalstaaten oder globale Konzerne sind mögliche Ziele digitaler Kriegsführung (Cyberwarfare). Ebenso betroffen sind kleine und mittlere Unternehmen, die stark in Forschung und Entwicklung investieren. Sie stecken in einer Zwickmühle: Viele wollen sich schnell und umfassend digitalisieren, um in der Industrie 4.0 Schritt zu halten. Computer, Produktionsanlagen, Logis-tik, Roboter, Wartungsfirmen, Lieferanten – alle sollen digital miteinander kommunizieren können. Schnittstel-len zu schaffen ist dabei nicht das Problem. Vor lauter Euphorie wird aber oft vergessen, ein umfassendes Si-cherheitskonzept zu integrieren. Hierbei fühlen sich klei-ne und mittlere Unternehmen oft alleingelassen.
Dabei ist die Sicherheitsfrage umso relevanter, je mehr Geräte miteinander vernetzt werden. Heute haben viele Unternehmen ihre IT ausgelagert und ver-trauen auf die Clouds von Dienstleistern, die höhere Sicherheits standards bieten. Hacken Angreifer jedoch einen IT-Spezialisten, legen sie damit zugleich etliche Unternehmen lahm.
Digitale Forensik als Lösungsansatz
In Sachen Informationssicherheit stehen wir vor einem Paradigmenwechsel. Das bisher führende Prinzip "Pre-vent & Protect" (abwehren und schützen), tritt gegen-über einem "Detect & Respond" (aufklären und antwor-ten) zurück. Die Anforderungen an IT-Systeme steigen stetig: Sie müssen heute viel mehr leisten, als nur Gefah-ren aus der Defensive heraus abzuwehren. Durch akti-ves Suchen sollen Eindringlinge möglichst früh erkannt werden. Gibt es Spuren verbrecherischen Handelns, so ist dieses nachzuverfolgen, und es gilt – falls der Angriff noch läuft –, den Schaden einzudämmen. Ganz augen-scheinlich muss die IT stets gut gerüstet sein, falls Ein-dringlinge ihre Defensivsysteme überwinden. Dies ist durchaus vergleichbar mit einer Erkältung: Wir wissen, dass sie uns immer wieder erwischen wird. Proaktive Prävention ist hier der einzige Weg.
Zwar gibt es nicht die eine goldene Lösung zur ganzheit-lichen Bekämpfung von Cybercrime, doch bietet die Di-gitale Forensik ein wertvolles Instrumentarium. Sie wird auch als Computer- oder IT-Forensik bezeichnet und hat sich als Teilgebiet der kriminalistischen Forensik etab-liert. Mit dieser Disziplin gelingt es, digitale Verbrechen gerichtsfest nachzuweisen. Zum Verständnis ein Bild: An einem realen Tatort werden Fingerabdrücke und andere Spuren gesichert. IT-Forensiker arbeiten ähnlich, sie su-chen in der virtuellen Welt nach digitalen Spuren und Hinweisen für eine Straftat. Tatort ist hier allerdings das Computernetzwerk, und als digitale Zeugen dienen Datenanalyseverfahren. Anstelle von Fingerabdrücken gibt es Hashwerte, das sind Zahlen- und Buchsta-
18 // Compliance & Digitale Forensik
benkombinationen, die einer bestimmten Datenmenge (etwa einem JPEG) eindeutig zugeordnet werden kön-nen. Wird daran etwas geändert, verändert sich auch der Hashwert. Als wesentlicher Teilbereich der Incident Response (Vorfallreaktion) verfügt die Digitale Forensik über wirkungsvolle Werkzeuge. Sie helfen dabei, digitale Störungen und Gefahren frühzeitig zu entdecken, einzu-dämmen und zu dokumentieren.
Suchen, erkennen, antworten
Eine Umstellung auf "Detect & Respond" ist für Un-ternehmen sinnvoll. Anstatt immer wieder und immer mehr Geld für einzelne Schutzmaßnahmen auszugeben, wird in ein leistungsfähiges und ganzheitliches System investiert. Denn exzellente Vorbereitung ist im Krisen-management (fast) alles. Insgesamt ist es leichter, die-sen Paradigmenwechsel zu vollziehen, wenn sich das Management bereits mit dem Thema auseinanderge-setzt hat. Das heißt übrigens nicht, dass Unternehmen das nötige Know-how unbedingt selbst aufbauen müs-sen. Digitale Forensik lässt sich wie eine Dienstleistung im Sinne von Security as a Service einkaufen. Hier kom-men – je nach Bedarf und in Rücksprache mit den Ver-antwortlichen – ausgewiesene Experten hinzu, die den Boden für IT-forensische Analysen bereiten, Abteilungen einbinden und dann im Notfall schnell Maßnahmen mit dem Unternehmen umsetzen können.
Das Thema Cybercrime ist aktuell wie nie und hat sich mittlerweile zu einem illegalen Wirtschaftszweig aus-gewachsen, denn Kriminalität im Internet ist vor allem
eines: extrem lukrativ. Darauf sollten sich Entscheider in Unternehmen einstellen. Auch die Digitale Forensik muss mit den rasanten technologischen Entwicklungen mithalten, indem sie die neuesten Methoden von Ha-ckern genau kennt und ihre Mechanismen fortlaufend anpasst. Nicht nur die globale Datenmenge wächst je-des Jahr, sondern auch die damit verbundenen Risiken. Um als Unternehmen in unserer digitalisierten Welt ge-wappnet zu sein, braucht es die richtige Mischung aus menschlicher und technischer Kompetenz.
Sie sollten sich also fragen, was wichtiger ist: den maxi-malen kurzfristigen Gewinn zu erzielen und dafür erns-ten Gefahren ausgesetzt zu sein oder einen Teil in den Schutz von Unternehmenswerten, geistigem Eigentum, Mitarbeitern – der eigenen Geschäftsfähigkeit – zu in-vestieren? Zwar obliegt diese Entscheidung natürlich jedem Unternehmen selbst. Eine größere Sensibilität für digitale Gefahren und die Entwicklung eines adäqua-ten Notfallplans sind allerdings empfehlenswert, um im Ernstfall nicht kopflos und getrieben von externem Druck handeln zu müssen, sondern umsichtig und mit Augenmaß agieren zu können. Denn es geht nicht mehr nur darum, ob Ihr Unternehmen Opfer von Cybercrime wird, sondern darum, wie, wann und ob es gelingt, den Angriff frühzeitig zu erkennen und angemessen darauf zu antworten.
Hinweis der Redaktion: Mehr zu diesem Thema lesen Sie in dem Buch „Digitale Forensik. Praxiswissen Cybercrime für Manager“ von Bodo Meseke, das im Juni 2019 im Erich Schmidt Verlag erscheint.
Bodo Meseke
Partner, Forensic & Integrity Services, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft mbH, Frankfurt am Main
Was ist Digitale Forensik?
Die Digitale Forensik (auch IT- oder Computerforen-sik) identifiziert und analysiert kriminelle Handlun-gen unter Anwendung von Informationstechnolo-gie. Kernelemente sind das gerichtsfeste Ermitteln, Sichern, Untersuchen und Dokumentieren digitaler Spuren. Zugleich dient die Arbeit eines IT-Forensikers dem Aufspüren von Lücken im IT-System. Spuren fin-den sich auf Festplatten in Computern ebenso wie auf Smartphones oder Smarthomegeräten. Standar-disierte Techniken und Prozesse stellen sicher, dass die digitalen Beweise vor Gericht verwertbar sind. IT-Forensiker sind speziell ausgebildete Experten, deren Wissen sich wesentlich von dem eines IT-Administra-tors unterscheidet.
Ausgabe 2 // Juni 2019
19 // Compliance & IT-Forensik
Complianceanforderungen treiben die Forensic Readiness voranEine Verbesserung der Datenorganisation ist zwingend erforderlich
Von Hanno Baur
Die IT-Forensik kommt bei der Untersuchung von IT-Si-cherheitsvorfällen zum Einsatz, wenn beispielweise ex-terne Angreifer ins Firmennetz eindringen oder Malware in IT-Infrastruktur eingebracht wurde. Auch bei vermu-teten Complianceverstößen, zum Beispiel Industriespi-onage, Korruption, Wettbewerbsdelikten, Arbeitsrechts-, Datenschutz-, Umwelt- oder Ethikverstößen, werden an-lassbezogene Sonderuntersuchungen durchgeführt, bei denen häufig auf Methoden der IT-Forensik und/oder auf entsprechende Expertise aus der IT-Forensik zurück-gegriffen wird.
Ähnlich wie in der IT-Sicherheit, die zum Beispiel die Empfehlungen bezüglich des kontinuierlichen Passwort-änderungszwangs für Anwender zurückgenommen hat, sind auch die Methoden und Rahmenbedingungen der IT-Forensik einem stetigen Wandel ausgesetzt und müs-sen deswegen fortlaufend angepasst werden. Dieser Evolutionsdruck wird etwa durch die rechtlichen Rah-menbedingungen (die anlässlich des einjährigen Beste-hens der DSGVO im vergangenen Monat gerade wieder intensiv diskutiert werden), den technologischen Fort-
schritt, Änderungen im Nutzungsverhalten und nicht zuletzt Prozessveränderungen ausgelöst. Bei Prozessver-änderungen sorgen hier nicht nur eigene Prozesse für zusätzliche Dynamik, auch beispielsweise die Ablösung
von Software, die längerfristig mit Sicherheitsupdates versorgt wird, durch Software, die einer kontinuierlichen Weiterentwicklung durch die Hersteller unterliegt – also die Umstellung von „Extended Support Releases“
Die Entwicklungen zeigen, dass Complianceanforderungen die Fo-rensic Readiness vorantreiben und eine Verbesserung der Datenorga-nisation zwingend erforderlich ist.
© E
len1
1/Th
inks
tock
/Get
ty Im
ages
Ausgabe 2 // Juni 2019
20 // Compliance & IT-ForensikAusgabe 2 // Juni 2019
auf„Rolling Releases“ – wirkt sich hier auf die Methoden der IT-Forensik aus. Durch diese Umstellung der Soft-wareentwicklung ändern sich zum Beispiel die durch IT-Forensiker analysierten Artefakte, also die durch die Nutzung verursachten Daten, häufiger und unstetiger.
IT-Forensik und Complianceanforderungen
In der IT-Forensik wird in der Regel zwischen Live-Res-ponse- und Offlineanalysen (letztere oft auch als Post-mortem-Analysen bezeichnet) unterschieden. Beim Live-Response wird an aktiven Systemen gearbeitet, wenn zum Beispiel flüchtige Daten für die Untersuchung des Sachverhalts gesichert werden müssen oder Systeme nicht ausgeschaltet werden können. Hierbei besteht die Gefahr, dass durch die Sicherungsvorgänge Daten zer-stört werden und relevante Informationen verloren ge-hen. Bei der Offlineanalyse wird in der Regel mit einer fo-rensischen Kopie gearbeitet. Hier kann es, bei richtigem Vorgehen, zu keinerlei Datenverlust kommen, und alle Arbeitsschritte können wiederholt und somit überprüft werden. Daten, die ausschließlich im flüchtigen Speicher vorgehalten werden, stehen so allerdings nicht zur Ver-fügung. Entsprechend muss bei der Planung möglicher-weise das Vorgehen abgewogen werden. Unternehmen haben hierbei den Vorteil, dass sie ihre eigene Infrastruk-tur kennen und sich so im Rahmen einer strategischen Planung, oft auch als Forensic Readiness bezeichnet, ent-sprechend vorbereiten können. Hier haben die Compli-anceanforderungen, zum Beispiel die Meldefristen aus der DSGVO, eine Professionalisierung ausgelöst, die sich auch auf mittlere und kleine Unternehmen erstreckt und
von der die IT-Forensik bei Sonderuntersuchungen pro-fitiert. Die Information Governance, also ein geschäft-licher Ansatz zur Nutzung, Speicherung und Löschung von geschäftlichen Informationen, wurde entsprechend transparent gestaltet. Als weiteres Beispiel lässt sich das Geschäftsgeheimnisgesetz nennen, in dessen Rahmen sich gerade die Weiterentwicklung von Data Governance, also die Steuerung der Speicherung, Sicherung und des Austauschs von Daten, abzeichnet. Die damit einherge-henden Berechtigungseinschränkungen werden nicht nur die Sicherheit vor Cyberangriffen erhöhen, sondern auch den Aufwand von IT-Forensik-Untersuchungen re-duzieren, wenn zum Beispiel Zugriffe auf Geschäftsge-heimnisse untersucht werden sollen.
Bei einigen Business-Applikationen, insbesondere im Cloudumfeld, sind mittlerweile „Beweissicherungsver-fahren“, im Englischen in der Regel als „litigation hold“ bezeichnet, implementiert worden und erlauben die Prä-servation von elektronisch gespeicherten Informationen auf Knopfdruck.
Nicht alle Entwicklungen wirken sich allerdings arbeits-erleichternd auf die IT-Forensik aus. Neben den gestie-genen Anforderungen und Dokumentationspflichten aus dem Datenschutz und der Datensicherheit ist hier die Tendenz zu nennen, Gesetze zur Nationalisierung der Datenverarbeitung und -speicherung einzuführen. Dadurch wird der IT-Forensik-Aufwand insbesondere bei multinationalen internen Investigationen deutlich erhöht.
IT-Forensik und Nutzungsverhalten
Durch die weiterhin kontinuierliche Verschiebung zu mobilen Geräten ist es wenig verwunderlich, dass auch die Notwendigkeit, mobile Geräte auszuwerten, wei-terhin zunimmt. Global betrachtet, also ohne die Be-grenzung auf interne Ermittlungen, sind Smartphones mittlerweile zur häufigsten Datenquelle aufgestiegen, gefolgt von PCs, einschließlich Laptops und Überwa-chungskamerasystemen. Technisch steht hierbei die meist ausgereifte Verschlüsselung einer physikalischen, forensischen Analyse entgegen und führt zu erheblichen Einschränkungen. Die große Anzahl an unterschiedli-chen Applikationen auf mobilen Geräten führt zu einer ebenfalls steigenden Anzahl von Artefakten, die als In-formationsquelle zur Verfügung stehen, aber auch zu einem erhöhten Auswertungsaufwand führen.
Auch bei den Angriffsmethoden sind Veränderungen zu beobachten, die sich über die Sicherheitsmaßnah-men auf das Nutzerverhalten auswirken. Advanced-Persistant-Threat(ATP)-Angriffsmethoden – dies sind hochtechnologisierte, fortgeschrittene und andauern-de Angriffe auf die Informationstechnik durch wenige hochprofessionalisierte Angreifer – werden nachgeahmt und automatisiert und wandeln sich dadurch zu einer nun allgemeinen Bedrohung. So wurden zum Beispiel Spear-Phishing-Angriffe, also Angriffe, die wie ein „Speer-angriff“ auf eine einzelne Person zielen und dafür indivi-duell auf das Ziel zugeschnitten sind, automatisiert und zum Massenangriff weiterentwickelt. Um diesem, als Dynamit-Phishing bezeichneten Verfahren zu begegnen, wurde in vielen Unternehmen die Datenkommuni-
21 // Compliance & IT-Forensik
kation mit Externen eingeschränkt und zum Beispiel der Empfang und Versand von Officedateien, welche Mak-ros enthalten, unterbunden. Gleichzeitig werden aus dem Privaten gewohnte Kommunikationskanäle nicht oder nicht mit dem erwarteten Komfort angeboten. Die fehlenden Datenkanäle oder Messagingdienste werden dann häufig über private Geräte subsumiert. Diese so-genannte „Schatten-IT“ kann bei internen Sonderun-tersuchungen im Regelfall nicht mitanalysiert werden und schränkt die Erkenntnisgewinnmöglichkeiten der internen Ermittler ein. Hieraus ergibt sich oft auch eine Veränderung in der zu untersuchenden Fragestellung. Nun kann beispielsweise die Quellenidentifikation ver-stärkt in den Fokus rücken. Dann sind Analysen zum Beispiel nicht mehr auf Drucker/Kopierer ausgerichtet, auf denen ein geschütztes Dokument ausgedruckt oder kopiert wurde, sondern beschäftigen sich eher mit der Fragestellung, mit welchem Smartphone ein Dokument abfotografiert wurde. Entsprechend kann nun schon das Anzeigen eines Dokuments auf einem Bildschirm und nicht mehr das Kopieren der ganzen Datei – auf zum Bei-spiel einen USB-Datenträger – als einziges Indiz für eine Datenausleitung vorhanden sein.
Darknet und Co.
Durch internationale Zusammenarbeit hat die Polizei jüngst wieder einige Darknetmarktplätze geschlos-sen. Neben klassischer Polizeiarbeit kamen auch dabei Methoden, die der IT-Forensik zuzurechnen sind, zum Einsatz. Der gezielte Einsatz von VPNs, also virtuellen Netzwerken, mit denen sich Täter unter anderem ano-
nymisieren können, ist nicht immer stabil möglich, und so kann ein einzelner Aussetzer des VPN-Dienstes den IT-Forensikern beispielsweise einen Hinweis auf eine verschleierte Identität geben. Zusätzlich können bei der IT-forensischen Ermittlung Informationen aus unter-schiedlichen Jahren und unterschiedlichen Systemen miteinander kombiniert werden und dabei Spuren bis zu einem System verfolgt werden, auf dem eine nicht ano-nymisierte Identität verwendet wurde. Im Resultat ver-gleichbare Rahmenbedingungen könnten sich auch für Sonderuntersuchungen in Unternehmen ergeben. Die Vernetzung der ERP-Systeme wird fortlaufend verbes-sert, und über EDI-Schnittstellen (englisch für Electronic Data Interchange) werden externe Systeme angebun-den. Wenn Vorsysteme nicht unter der Kontrolle des Un-ternehmens stehen, können diese Systeme nicht immer in die Untersuchung einbezogen werden. Hier liegt dann zwar keine gewollte Anonymisierung zugrunde, aber auch hier sind Systeme nicht einsehbar und können nur in Kooperation ausgewertet werden. Bis zur Umsetzung der EU-Whistleblowerrichtlinie, die bei Verstößen gegen EU-Recht wahrscheinlich Berichtseinsichtsrechte für die Hinweisgeber vorsieht, müssen hierfür Wege gefunden werden.
Zusammenfassung
Die Auswahl der hier aufgezeigten Entwicklungen macht deutlich, dass Complianceanforderungen die Fo-rensic Readiness vorantreiben und eine Verbesserung der Datenorganisation deshalb zwingend erforderlich ist. Mobile Geräte wie Smartphones und Tablets dürfen
bei internen Untersuchungen nicht ausgelassen werden und sollten auch in die strategische Vorbereitung aufge-nommen werden. Zusätzlich führt die gestiegene Anzahl an Geräten und genutzten Systemen zu einer weiterhin stark steigenden Zahl an potentiellen Artefakten, die durch Methoden der IT-Forensik ausgewertet werden können, was wiederum neue Prozesse erfordert, die sol-ches bewältigen können. Auch in Zukunft sind Möglich-keiten der Kooperation zwischen Unternehmen, die ver-netzte Systeme nutzen, eine notwendige Voraussetzung für gewinnbringende IT-forensische Arbeit.
Hanno Baur
Manager, Ebner Stolz, Köln
[email protected] www.ebnerstolz.de
Ausgabe 2 // Juni 2019
22 // DICO-Kolumne
Stellungnahme: Deutsches Institut für Compliance e.V. (DICO) zu dem Referentenentwurf eines Gesetzes zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie (EU) 2018/843
Von Dr. Niklas Auffermann und Dr. Falk Löffler
DICO tritt dafür ein, dass insbesondere deutsche Indus-trieunternehmen der Gefahr der Geldwäsche und der Terrorismusfinanzierung risikoangemessen begegnen, und begrüßt daher grundsätzlich die Umsetzung der EU-Vorgaben in das Geldwäschegesetz (GwG). Gestützt auf eine intensive Diskussion des Entwurfs im DICO-Ar-beitskreis Geldwäscheprävention, sehen wir jedoch drin-genden Änderungsbedarf hinsichtlich zweier geplanter Änderungen:
Eindeutige Klarstellung, dass Industrieholdings keine Verpflichteten nach dem GwG sind
• § 2 Abs. 1 Nr. 6 i. V. m. § 1 Abs. 24 GwG-E
Bereits im Gesetzgebungsverfahren 2017 wurde gefor-dert, den Anwendungsbereich des GwG nicht auf in-dustrielle Holdinggesellschaften auszudehnen. DICO begrüßt ausdrücklich, dass im aktuellen Gesetzgebungs-verfahren industrielle Holdinggesellschaften vom Ver-pflichtetenkreis des GwG ausgeschlossen werden sollen.
DICO tritt dafür ein, dass insbesondere deut-sche Industrieunternehmen der Gefahr der Geldwäsche und der Terrorismusfinanzierung risikoangemessen begegnen, und begrüßt daher grundsätzlich die Umsetzung der EU-Vorgaben in das Geldwäschegesetz (GwG).
© A
lxey
Pnfe
rov/
Thin
ksto
ck/G
etty
Imag
es
Ausgabe 2 // Juni 2019
23 // DICO-KolumneAusgabe 2 // Juni 2019
Mit dem Ziel, Rechtssicherheit und Klarheit zu schaf-fen, sollte in das GwG – nicht nur in die Gesetzes-begründung – eine Definition der Industrieholding aufgenommen werden. Hieraus müsste zweifelsfrei er-kennbar sein, was unter einer „reinen“ Industrieholding zu verstehen ist. Falls es keine eindeutige Abgrenzung zur „unreinen“ Industrieholding gibt, muss das Adjektiv „rein“ ersatzlos entfallen.
Darüber hinaus ist problematisch, dass die Formulierung in § 1 Abs. 24 Nr. 5 GwG-E zumindest in Teilen einer De-finition der Industrieholding nahekommt. Es ist daher dringend eine Klarstellung erforderlich, dass diese Vor-schrift keine Industrieholdinggesellschaften umfasst.
Erster Vorschlag:
Folgende Definition der Industrieholding wird im GwG aufgenommen:
Industrielle Holdinggesellschaften sind Vorschaltgesell-schaften, die ausschließlich Beteiligungen an Unterneh-men außerhalb des Kreditinstituts-, Finanzinstituts- und Versicherungsinstitutssektors halten und deren Haupt-tätigkeit nicht im Handel mit diesen Beteiligungen oder dem Erwerb von Beteiligungen zu Anlagezwecken be-steht und die im Übrigen über die mit der Verwaltung des Beteiligungsbesitzes verbundenen Aufgaben hinaus nicht wesentlich unternehmerisch tätig sind.
Zweiter Vorschlag:
Folgender Satz wird aufgenommen:
Industrielle Holdinggesellschaften sind keine Finanz-unternehmen i. S. d. § 1 Abs. 24 GwG-E.
Privilegierung für Güterhändler aufrechterhalten
• § 4 Abs. 5 Satz 2 GwG-E
Nach aktuell geltendem Recht sind Güterhändler, die Bargeldgeschäfte bis maximal 9.999 Euro tätigen, von der Pflicht der Anwendung eines Risikomanagements (Abschnitt 2) ausgenommen. Hierin eingeschlossen ist auch § 9 GwG (Gruppenweite Einhaltung von Pflichten). Dadurch sollte der Pflichtenumfang für Güterhändler den Vorgaben der Vierten EU-Geldwäscherichtlinie an-geglichen werden.
Nach § 4 Abs. 5 Satz 2 GwG-E soll diese Privilegierung für Güterhändler, die Mutterunternehmen einer Grup-pe sind, aufgehoben werden. Zukünftig würde demnach für Güterhändler, die Mutterunternehmen sind, der ge-samte Abschnitt 2 des GwG zur Anwendung kommen, selbst wenn diese Güterhändler keine Bargeldgeschäfte tätigen.
EU-rechtlich besteht hierfür keine Grundlage. Auch vor dem Hintergrund der erwünschten Reduzierung mögli-cher Geldwäscherisiken erscheint diese Regelung weit überschießend, zumal die Privilegierung ihrer Tochterun-
ternehmen im Anwendungsbereich des GwG weiterhin erhalten bliebe:
§ 9 Abs. 1 Satz 3: „Sie [Mutterunternehmen] haben si-cherzustellen, dass die Pflichten und Maßnahmen nach den Sätzen 1 und 2 von Ihren nachgeordneten Unter-nehmen, Zweigstellen und Zweigniederlassungen, so-weit diese geldwäscherechtlichen Pflichten unterliegen, wirksam umgesetzt werden.“
Güterhändler, die Mutterunternehmen einer Gruppe sind und ihre Bargeldgeschäfte auf unter 10.000 Euro begrenzt haben – bisher also von wesentlichen Teilen des GwG-Pflichtenkatalogs ausgenommen waren –, müssten zukünftig jedoch ein wirksames Risikomanage-ment für sich selbst und für ihre weltweiten Tochter-gesellschaften in Ländern außerhalb des EWR umsetzen. Dabei müssen die jeweiligen Maßnahmen mindestens das Schutzniveau des GwG erreichen (oder die Geschäf-te eingeschränkt werden).
Diese Regelung ist weder risikoangemessen noch erfor-derlich. Sie widerspricht dem risikoorientierten Ansatz des GwG und den Grundsätzen der Geldwäsche- und Terrorismusfinanzierungsprävention im Sinne eines Risk-based-Approach. Eine Vielzahl an mittelständischen deutschen Gesellschaften ist als Konzern organisiert und betreibt im Ausland Tochtergesellschaften. Bisher privi-legierte Güterhändler unterfielen zukünftig vollumfäng-lich dem GwG und hätten ein Risikomanagement umzu-setzen, wie es im Finanzsektor regelmäßig Anwendung findet, selbst wenn keinerlei Bargeldgeschäfte betrie-ben würden. Die geplante Änderung würde erhebli-
24 // DICO-Kolumne
che Wettbewerbsnachteile für die deutsche Wirtschaft, insbesondere den Mittelstand, bedeuten.
Vorschlag:
Folgender Satz ist zu streichen (§ 4 Abs. 5 Satz 2 GwG-E): „Bei Verpflichteten nach § 2 Absatz 1 Nummer 16, die Mutterunternehmen einer Gruppe sind, bleiben die Vor-gaben nach § 9 unberührt von Satz 1.“
Dr. Falk Löffler
Compliance Officer, Thyssen Krupp AG, Essen
[email protected] www.thyssenkrupp.com
Dr. Niklas Auffermann
Rechtsanwalt, Gründungspartner, FS-PP Berlin Part mbB, Berlin
[email protected] fachanwaelte-strafrecht-potsdamer-platz.de
Ausgabe 2 // Juni 2019
ANZEIGE
F Ö R D E R E R
V E R A N S T A LT E R M I T V E R A N S T A LT E R PA R T N E R
M E D I E N PA R T N E R K O O P E R AT I O N S PA R T N E R
Exportakademie
22 . O K T O B E R 2019, CO N G R E S S C E N T E R R O S E N G A R T E N M A N N H E I M
Tag der ExportweltmeisterInspiration und Fachwissen für Exportentscheider
www.tag-der-exportweltmeister.de
SAVE THE
DATE
Im Fokus: Exportcompliance
Prof. Dr. Stefan Kooths, Leiter Prognosezentrum,
Institut für Weltwirtschaft, Kiel
Dr.-Ing. Marc Wucherer,Mitglied des Vorstands
(Vertrieb),Bosch Rexroth AG
Ingrun Retzla� , Leiterin Exportkontrolle,
VINCORION – JENOPTIK Advanced Systems GmbH
Dr. Michael Groß, mehrfacher Schwimmwelt-meister und Unternehmer,
Groß und Cie.
Exportweltmeister_Anzeige.indd 10 11.06.2019 14:16:22
25 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite
Carsten BeisheimBird & Bird, Partner, Düsseldorf
Flavio Bertoli, LL.M. (Col-lege of Europe, Brügge/Belgien)LEDVANCE GmbH, Head of Compliance Legal, Garching
Dr. Stephan BühlerSGL Carbon SE, Chief Compliance Officer, Wiesbaden
Markus DreissigackerJacobs Douwe Egberts, Global Chief Compliance Officer, Director Legal Europe, Bremen
Andreas GehrkeMizuho Securities Europe GmbH, Head of Compliance, Frankfurt am Main
Dr. Cornelia GodzierzInfineon Technologies AG, Vice President Compliance IFAG CO
Dr. Achim Gronemeyer, LL.M. (Norwich)Schaeffler AG, Rechtsanwalt, Legal Counsel Antitrust & Competition, Herzogenaurach
Dirk HenseBarclays Corporate and Investment Banking, Head of Compliance Northern Europe, Frankfurt am Main
Berndt HessRechtsanwalt, Frankfurt am Main
Dr. Rico BaumannHead of Compliance/Compliance Officer, MAN Diesel & Turbo SE, Augsburg
Dr. Gerd O. Hagena, LL.M., MBAFlender, General Counsel, Bocholt
David Ghahreman, M.A.AOK Hessen, Stabsbereich Recht – Compliance Management, Bad Homburg v.d.H.
Tassilo AmtageUBS Europe SE, Financial Crime Prevention, Director / Stv. Geldwä-schebeauftragter, Frankfurt am Main
Sevgi DursunBBVA, Compliance & AML Officer Germany, Vice President, Frankfurt am Main
Dr. Silke EngelCoca-Cola European Partners, Associate Director Legal/Rechtsanwältin (Syndikusrechtsanwältin) Recht/Immobilien, Berlin
Ausgabe 2 // Juni 2019
26 // 26 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite [email protected]
Melanie Poepping, MBAFresenius Medical Care AG & Co. KGaA, Head of Global Investigation, Bad Homburg vor der Höhe
Dr. Thilo ReimersDeutsche Bahn AG, Leiter Kartellrecht – Compliance und Schadensprävention, Berlin
Hartmut T. RenzLandesbank Baden- Württemberg, Chief Compliance Officer, Stuttgart
Stephan NiermannJ.P. Morgan AG, Chief Compliance Officer, Frankfurt am Main
Dr. Martin MozekSamsung Electronics GmbH, Rechtsanwalt, Compliance Officer Legal & Compliance, Schwalbach/Ts.
Georg Kordges, LL.M.ARAG SE, Leiter Recht und Compliance, Düsseldorf
Dr. Sebastian LochenCompliance Officer, Thyssen Krupp AG, Essen
Bianca Löckeneuromicron AG, Compliancebeauftragte, Frankfurt am Main
Dr. Felix KaestnerUBS Europe SE, Head Compliance and Operational Risk Control, Frankfurt am Main
Markus JüttnerE.ON SE, Vice President Group Compliance, Düsseldorf
Olga KausAffimed GmbH, Head of Compliance, Heidelberg
Bernd HoffmannAllianz Deutschland AG, Recht und Compliance (D-RuC), Chief Compliance Officer, Unterföhring
Dr. Steffen JustNestlé AG, Chief Compliance Officer, Frankfurt am Main
Hanno HinzmannSAP SE, Chief Compliance Officer EMEA & MEE, Legal Compliance & Integrity Office, Syndikusanwalt, Leiter Ausschuss Internatio- nales, DICO, Walldorf
Jennifer HeßFresenius Medical Care Deutschland GmbH, Rechtsanwältin/Legal Counsel, Head of Compliance Western Europe, Bad Homburg
Ausgabe 2 // Juni 2019
27 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite [email protected]
Wolfgang VahldiekVerband der Auslandsban-ken in Deutschland e.V., Direktor Recht, Frankfurt am Main
Dr. Claudia Tapia, LL.M.Ericsson, Director IPR Policy, RIPL IPR Policy & Communications, Herzogenrath
Dr. Oliver SuchyG+D Mobile Security GmbH, Chief Compliance Officer, München
Clemens von StockertFraport AG, Leiter Compliance und Wertemanagement, Frankfurt am Main
Jörg SteinhausMerck KGaA, Konzerndatenschutzbeauf-tragter, Group Data Privacy Officer, Group Legal & Compliance, LE-CD Data Privacy, Darmstadt
Tanja SommerDRF Stiftung Luftrettung gemeinnützige AG, Leiterin Stabsstelle Recht & Compliance Stuttgart
Dr. Petra SchackRechtsanwältin, München
Dr. Martin SchmidtComfield Unternehmens-beratung GmbH & Co. KG, Geschäftsführender Gesellschafter, Berlin
Dr. Anita SchiefferPohlmann & Company, Partnerin, München
Anthipi SchwarzeneggerErwin Hymer Group SE, Group Compliance Officer, Bad Waldsee
Christina Sontheim-Leven, LL.M.Postcon Deutschland, Chief Legal & Compliance Officer (CLCO), Ratingen
Maike ScholzDEUTSCHE TELEKOM AG, Senior Expert AT Compliance, Group Compliance Management, Bonn
Ulrich RothfuchsDEKRA SE, General Counsel & Chief Compliance Officer, Stuttgart
Christopher RotherHausfeld Rechtsanwälte LLP, Rechtsanwalt/Partner, Berlin
Stephan RheinwaldCompliance Officer Services GmbH, Geschäftsführender Gesellschafter, Bonn
Ausgabe 2 // Juni 2019
28 // Fachbeirat
Heiko WendelFuchs Petrolub SE, General Counsel, VP Legal & Insurance/ Chief Compliance Officer, Mannheim
Dr. Adriane WinterBSH Hausgeräte GmbH, Rechtsanwältin, Corporate/ Legal/Compliance, Global Head of Compliance Management, München
Dietmar WillAudi AG, Leiter Compliance, Integrität, Ingolstadt
Tom WoodsonS. Oliver, Chief Compliance Officer, Würzburg
Dr. Mirjam WeisseMerz Pharma GmbH & Co. KGaA, Head of Compliance EMEA, Rechtsanwältin, Frankfurt am Main
Ausgabe 2 // Juni 2019
29 // Ansprechpartner/Kooperationspartner
Gabriel AndrasDeloitte & Touche GmbH Wirtschaftsprüfungsgesell-schaft
Schwannstraße 6 40476 Düsseldorf Telefon: (02 11) 87 72-21 06
Prof. Dr. Daniela Seeliger, LL.MLinklaters LLP
Königsallee 49–51 40212 Düsseldorf Telefon: (02 11) 229 77-0
Andreas PrycekErnst & Young GmbH Wirtschaftsprüfungsgesell-schaft
Graf-Adolf-Platz 15 40213 Düsseldorf Telefon: (02 21) 93 52 26-881
Kooperationspartner:
Alexander GeschonneckKPMG AG Wirtschafts-prüfungsgesellschaft
Klingelhöfer Straße 18 10785 Berlin Telefon: (030) 20 68-15 20
Dr. Rainer MarkfortDICO – Deutsches Institut für Compliance e.V.
Chausseestraße 13 10115 Berlin Telefon: (030) 27 58 20 20
Prof. Dr. Michael NietschEBS Law School/Center for Corporate Compliance
Gustav-Stresemann-Ring 3 65189 Wiesbaden Telefon: (06 11) 71 02-22 35
[email protected]/en-de
Dr. Maxim KleineNorton Rose Fulbright LLP
Bleichenbrücke 10 20354 Hamburg Telefon: (0 40) 97 07 99 180
Prof. Dr. Leo StaubUniversität St. Gallen, Executive School of Management, Technology and Law (ES-HSG)
Holzstraße 15 CH-9010 St. Gallen Telefon: +41 (71) 224-21 11
Peter GottschalkAccessData
OpernTurm 60306 Frankfurt Telefon: (069) 50 50 60 43 69
Dr. André-M. Szesny, LL.M.Heuking Kühn Lüer Wojtek
Georg-Glock-Straße 4 40474 Düsseldorf Telefon: (02 11) 600 55-217
Christian ParsowEbner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsan-wälte Partnerschaft mbB
Holzmarkt 1 50676 Köln Telefon: (02 21) 206 43-494
Timo PurkottKPMG AG Wirtschafts-prüfungsgesellschaft
THE SQUAIRE Am Flughafen 60549 Frankfurt/Main Telefon: (069) 95 87-15 33
Ansprechpartner:
Ausgabe 2 // Juni 2019
ImpressumHerausgeber: Prof. Dr. Thomas Wegerich
Redaktion: Thomas Wegerich (tw)
Verlag: FRANKFURT BUSINESS MEDIA GmbH – Der F.A.Z.-Fachverlag Geschäftsführer: Dominik Heyer, Hannes Ludwig Frankenallee 68–72, 60327 Frankfurt am Main Sitz: Frankfurt am Main, HRB Nr. 53454, Amtsgericht Frankfurt am Main
German Law Publishers Verleger: Prof. Dr. Thomas Wegerich Stalburgstraße 8, 60318 Frankfurt am Main Telefon: (069) 95 64 95 59 E-Mail: [email protected] Internet: www.compliancebusiness-magazine.com
Jahresabonnement: Bezug kostenlos, Erscheinungsweise: quartalsweise
Projektmanagement und Anzeigen: Karin Gangl Telefon: (069) 75 91-22 17 / Telefax: (069) 75 91-80 22 17
Publikationsmanagement Ayfer Ekingen
Layout: Ina Wolff
Partner: Deloitte & Touche GmbH; Ebner Stolz Mönning Bachem mbH; Ernst & Young GmbH; Heuking Kühn Lüer Wojtek; KPMG AG; Linklaters LLP
Kooperationspartner: AccessData, ACC Europe, Deutsches Institut für Compliance e.V. (DICO); EBS Law School/Center for Corporate Compliance; Universität St. Gallen, Executive School of Management, Technology and Law (ES-HSG)
Haftungsausschluss: Alle Angaben wurden sorgfältig recherchiert und zusam-mengestellt. Für die Richtigkeit und Vollständigkeit des Inhalts von ComplianceBusiness übernehmen Verlag und Redaktion keine Gewähr.
„Partner“ und „Kooperationspartner“Die Partner von ComplianceBusiness sind führende Anwaltssozietäten und Wirtschaftsprüfungsgesellschaften; die Kooperationspartner von ComplianceBusiness sind anerkannte wissenschaftliche Organisationen oder Unternehmen mit inhaltlichen Bezügen zum Rechtsmarkt. Alle Partner und Kooperationspartner respektieren ohne Einschränkung die Unabhängigkeit der Redaktion, die sie fachlich und mit ihren Netzwerken unterstützen. Sie tragen damit zum Erfolg des Magazins ComplianceBusiness bei.
Partner:
Herausgeber:
In Kooperation mit:
30 // Ausgabe 2 // Juni 2019
