Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Ausgabe 3 September 2018www.compliancebusiness-magazin.de
In dieser Ausgabe finden Sie Beiträge aus den Bereichen:
Compliance Inhouse Top 5 | Compliance & Unternehmenspraxis | Compliance & IT | Compliance & Whistle blowing | Compliancepraxis | Compliance international
2 // 2 // Inhalt und Editorial
Liebe Leserin, lieber Leser,
in unserer noch jungen Rubrik „Compliance In-house Top 5“ berichten unsere Fachbeiräte Mar-kus Jüttner (Vice President Compliance, E.ON SE) und Dr. Achim Gronemeyer (General Counsel An-titrust & Competition, Schaeffler Group), welche fünf Themen für sie derzeit höchste Priorität im Business haben. Vergleichen Sie doch, ob sich das mit Ihrem Ranking deckt.
Eine grundsätzliche Frage stellen Andreas Pyrcek und Kira Uebachs-Lohn: Wie sollte (und wird) Compliance sich in den nächsten Jahren ändern? Lassen Sie sich den durch Fakten gestützten Blick in die Glaskugel nicht entgehen.
Großbritannien ist weit weg, und das wird nach dem bevorstehenden Brexit umso mehr der Fall sein? Vorsicht: Die neue Regelung der UK Corpo-rate Criminal Offence kann aufgrund ihrer extra-territorialen Wirkung Folgen auch für deutsche Unternehmen haben. Victoria Wildhirt und Timo Purkott kennen die Details. Das sollten Sie auch.
Ihr
Thomas Wegerich
_Compliance Inhouse Top 5 3In a nutshell:Alles, was führende Compliance-Officer im Blick haben müssenAus der Praxis für die Praxis: E.ON und Schaeffler
_Compliance & Unternehmenspraxis 5Über Moral, Mensch und MöglichkeitenIm Blickpunkt: Die Zukunft der Compliance-organisationVon Andreas Pyrcek und Kira Uebachs-Lohn, LL.M. oec.
_Compliance & IT 10„Klassische“ Compliance und IT: stark verwobenZukunftsvision ist die komplette Zusammenführung beider BereicheVon Christian Parsow und Hanno Baur
_Compliance & Whistleblowing 13Hinweisgeber besser schützenIm Blickpunkt: Der Richtlinienentwurf der EU-Kommission zum Schutz von WhistleblowernVon Dr. Susanne Stauder
_Compliancepraxis 16Paukenschlag oder doch nur eine Bagatelle?Jones Day: Bundesverfassungsgericht entscheidet über Durchsuchung und Beschlag-nahme von Unterlagen bei einer KanzleiGastbeitrag von Daniel Kreienkamp
_Compliance international 19Neu: UK Corporate Criminal OffenceCriminal Finances Act: Verschärfter Kampf gegen Steuerhinterziehung fordert auch deutsche Unternehmen zum Handeln aufVon Victoria Wildhirt und Timo Purkott
Kontakte
Fachbeirat . . . . . . . . . . . . . . . . . . . . . 23Ansprechpartner . . . . . . . . . . . . . . . 26
Partner, Kooperations partner und Impressum . . . . . . . . . . . . . . . . 27
Prof. Dr. Thomas WegerichHerausgeber ComplianceBusiness
Ausgabe 3 // September 2018
3 // 3 // Compliance Inhouse Top 5
© c1
2/iS
tock
/Thi
nkst
ock/
Get
ty Im
ages
In a nutshell:Alles, was führende Compliance-Officer im Blick haben müssen
Aus der Praxis für die Praxis: E.ON und Schaeffler
In unserer neuen Rubrik Compliance Inhouse Top 5 stellen wir Ihnen zukünftig in loser Folge alle praxisrelevanten Themen vor, die bei führenden Complianceverantwortlichen in Deutschland oben auf der Agenda stehen. In dieser Ausgabe lesen Sie die Top-5-Themen unserer Fachbeiräte Markus Jüttner und Dr. Achim Gronemeyer, LL.M. (Norwich).
Meine Top-5-Themen können mit dem Slogan „I MOVE“ umschrieben werden:
Interdisziplinarität Ist der Output für die Compliancearbeit relevant, ist psychologisches, organisationssoziologisches und verhal-tensökonomisches Wissen essentiell, will man ernsthaft Compliance betreiben. Compliance ist dann weniger eine rechtliche als vielmehr eine interdisziplinäre Tätigkeit.
„Normal is a setting on a dryer.“
Messung der EffektivitätIst die Wirksamkeit oder Effektivität entscheidend, ist eine kontinuierliche Erfolgsmessung und Bewertung der Compliancearbeit unabdingbar. Ohne geeignete Daten verkommt die Compliance zum unbestimmten Adjektiv oder zu einem Aktivitätsreporting.
„If you can’t measure it, you can’t manage it.“
Output Design ThinkingOrientiert man sich am Wirksamkeitspostulat, bestimmt dies den Complianceansatz und die Compliancedenk-weise. Der Output oder das Bemühen um einen erfolg-reichen Output ist entscheidend; weniger der Input und die Anzahl der Aktivitäten, sondern deren Qualität.
„It’s always day 1.“
Verhältnis- und VerhaltenspräventionCompliance-Officer mit diesem Wissen konzentrieren sich nicht nur auf eine Verhaltensprävention, sondern beziehen auch die Verhältnisprävention ein. Sie wirken also nicht nur auf das Wissen und Verhalten des Einzel-nen ein, sondern auch auf die Arbeits- und Umfeldver-hältnisse.
„Morals go out the window, when the pressure is on.“
EffektivitätEs gibt in meiner Compliancearbeit nur eine KPI – die der Wirksamkeit/Effektivität. Alles Bemühen, alle Maß-nahmen haben sich diesem einem Ziel unterzuordnen.
„Forget best practice, take most efficient practice.“
Markus Jüttner Vice President Compliance, E.ON SE, Essen
[email protected] www.eon.com
Ausgabe 3 // September 2018
4 // 4 // Compliance Inhouse Top 5
Meine Inhouse Top 5 sind derzeit:
Einführung eines voll digitalen Verbands- und Wettbewerberkontaktregisters unter Entwicklung einer automatisierten Ersteinschätzung.
Bewertung und Berücksichtigung globaler Kartell-rechtstrends im Rahmen der Kartellrechtscompli-ance (Schulungen, Risikoanalyse etc.).
Kommunikation genereller kartellrechtlicher Inhal-te sowie spezifischer aktueller Entwicklungen unter Verwendung neuer Medien zwecks Reichweiten-maximierung (Blog, Apps, Filme etc.).
Entwicklung und Implementierung eines Prozesses zur Identifikation, Bewertung und Durchsetzung potentieller Kartellschadensersatzansprüche.
Kartellrechtliche Bewertung und Mitgestaltung neuer Geschäftsmodelle für die Zukunftsfelder Industrie 4.0 und Digitalisierung.
Dr. Achim Gronemeyer, LL.M. (Norwich)
Rechtsanwalt (Syndikusrechtsanwalt), General Counsel Antitrust & Competition, Schaeffler Group, Herzogenaurach
[email protected] www.schaeffler.com
S P R E C H E R U . A . :
Dr. Karl-Ulrich Köhler, Vorsitzender der Geschäfts-führung, Rittal GmbH & Co. KG
Dr. Heike Wenzel, Geschäftsführerin,WENZEL Group GmbH & Co. KG
Dr. Gunther Wobser, Geschäftsführender Gesellschafter, LAUDA DR. R. WOBSER GMBH & CO. KG
MDG Karl Wendling, Unterabteilungsleiter Außenwirtschaftskontrollen,Asien, Australien, BMWi
Die Themen u.a.: - Technologischen Wandel und neue Arbeitsteilung meistern - Deutsche Exporte im politischen Spannungsfeld- Ein Jahr im Silicon Valley – Geschäftsmodelle im industriellen Mittelstand neu denken
23. O K T O B E R 2018 , C O N G R E S S C E N T E R R O S E N G A R T E N M A N N H E I M
Deutscher ExporttagThemenplattform für die Exportpraxis
3.
www.deutscher-exporttag.de
F Ö R D E R E R
V E R A N S T A LT E R M I T V E R A N S T A LT E R PA R T N E R
M E D I E N PA R T N E R K O O P E R AT I O N S PA R T N E R
Exportakademie
DeutscherExporttag_Anzeige_alle_Formate.indd 26 03.09.2018 11:59:34
5 // Compliance & UnternehmenspraxisAusgabe 3 // September 2018
Über Moral, Mensch und MöglichkeitenIm Blickpunkt: Die Zukunft der Complianceorganisation
Von Andreas Pyrcek und Kira Uebachs-Lohn, LL.M. oec.
Compliancemanagement hat sich in deutschen Großun-ternehmen weitestgehend zur gelebten Praxis und zum unternehmerischen Selbstverständnis entwickelt und wird durch ein gut strukturiertes und effektiv arbeiten-des Compliancemanagementsystem (CMS) gespiegelt. Auch der Mittelstand hat den Anschluss mittlerweile ge-
funden und Compliance zur Chefsache erklärt; regelmä-ßige Risikoanalysen, solide Richtlinien, Prüfungen nach bestimmten Standards und allgemeine Trainings sind Methoden, die sich branchenübergreifend finden lassen. Denn Rechtstreue „lohnt“ sich für Unternehmen, auch und insbesondere finanziell.
Doch haben wir mit dem aktuellen Stand von Compli-ance den Zenit und den heiligen Gral erreicht? Wie soll-ten und werden sich Compliancemanagementsysteme und Ziele von Complianceorganisationen in den nächs-ten Jahren ändern? Dieser Artikel beschäftigt sich mit der Entwicklung, die die Compliancebewegung in den vergangenen Jahren durchlaufen hat, und wirft einen Blick auf das, was Compliance in der Zukunft sein könnte, wenn wir bereit dafür sind.
„On the road (again)“
AktG, GmbHG, OWiG, StGB und Co. – das sind Gesetze und Rechtsrahmen, die es ermöglichen, etwaige Ver-säumnisse im Unternehmen bei der Überwachung und Kontrolle der Mitarbeiter, die im schlimmsten Fall zu Strafbarkeiten führen, nicht nur bei den handelnden Personen zu ahnden, sondern auch die Unternehmens-organe und das Unternehmen selbst mit in die Pflicht zu nehmen. Aber in der Vergangenheit wurden diese recht-lichen Gegebenheiten von Seiten der Strafverfolgungs-organe kaum umgesetzt. Noch vor einigen Jahren waren zumindest § 30 OWiG und die Möglichkeit, gegen das Unternehmen direkt eine Geldbuße zu verhängen,
„Compliance“ ist kein statischer Begriff, sondern befindet sich heute mehr denn je im Wandel.
© IR
_Sto
ne/i
Stoc
k/Th
inks
tock
/Get
ty Im
ages
6 // Compliance & Unternehmenspraxis Ausgabe 3 // September 2018
bei den Ermittlungsbehörden und Gerichten mehr the-oretisches Wissen als ernsthafte Option zur angestreb-ten individuellen Bestrafung des Verantwortlichen, der möglichweise am Ende nicht einmal klar zu identifizie-ren war.
Doch aufgrund eines Umdenkens des BGH, großer nati-onaler und internationaler Complianceverstöße im Be-reich Korruption, Kartellrecht und Außenwirtschaft und des Einbringens von „Compliance“ in den Deutschen Corporate Governance Kodex fand eine langsame, aber solide Etablierung von Compliancemanagement in der deutschen Unternehmenslandschaft statt. Denn hier sollen angemessene, an der Risikolage des Unterneh-mens ausgerichtete Maßnahmen (CMS) für den Schutz des Unternehmens sorgen.
Die Unternehmen rüsteten auf, Complianceabteilungen wurden implementiert, aufgebaut und über die Jahre personell massiv verstärkt. Complianceeinheiten, die als Anhängsel der Revision oder als kleiner „Einmannbe-trieb“ innerhalb der Finanz- oder Rechtsabteilung begon-nen hatten, mauserten sich zu den Aushängeschildern großer Unternehmen, nicht zuletzt in den Konzernen, bei denen ein Complianceskandal den Umschwung ausgelöst hatte. Mittlerweile ist Compliance – einer Berufsfeldstudie des „Berufsverbandes der Compliance Manager" von 2017 zufolge – überwiegend als zentra-le Funktion direkt unterhalb der Organisationsleitung angesiedelt (abrufbar unter https://www.bvdcm.de). Trotz dieser imposanten Entwicklung wird die Compli-ancepraxis nach wie vor stark durch juristische Vorgaben geprägt, aber auch hier ist zunehmend Veränderung in
Sicht. Standards wie ISO 19600, IDW PS 980 oder FCPA/UK Bribery Act verschärften den Gedanken, dass State-of-the-Art-CMS eine gewisse „Rechtssicherheit“ und „Standardkonformität“ haben sollten – denn ansonsten macht sich das Unternehmen angreifbar. Es gibt jedoch keine Garantie für richterliche Milde oder eine konkrete Reduzierung von möglichen Bußgeldern im Ernstfall.
Dennoch: In seinem Urteil vom Mai 2017 führt der BGH nun endlich aus, dass Unternehmen, die ein wirksames CMS vorweisen können, bei festgestellten Compliance-verstößen potentiell mit verminderten Bußgeldern rech-nen können (BGH, Urteil vom 09.05.2017 – 1 StR 265/16). Auch Maßnahmen, die erst nach Bekanntwerden der Verstöße oder Einleitung des Ermittlungsverfahrens er-griffen werden, können gegebenenfalls finanziell berück-sichtigt werden. Und „Geld“ ist bekanntermaßen eine Sprache, die auch Vorstände verstehen, wenn Compliance bisher noch als lästige, rein gesetzlich getriebene Pflicht oder als etwas verstanden wurde, das maximal auf dem Papier gelebt wurde und als „Feigenblatt“ diente.
Doch verlieren wir mit dieser Entwicklung nicht das ei-gentliche Ziel von Compliance aus den Augen? Reicht es aus Unternehmenssicht aus, die Mitarbeiter durch im-mer strengere Compliancekodizes, immer umfassendere Richtlinien, konkretere Verhaltensanweisungen oder re-gelmäßig wiederkehrende Schulungen zu gesetzestreu Handelnden erziehen zu wollen? Wird es dadurch, wie der BGH es in seinem Urteil formuliert, wirklich „deutlich erschwert“, dass es durch den Einzelnen im Unterneh-men zu einem Rechtsverstoß kommt? Vermutlich ja, und alles andere wäre für jeden Compliance-Officer eine her-
be Enttäuschung. Aber möglicherweise ist dies zu kurz gedacht.
Nötig ist vielmehr auch eine kritische Reflexion über Recht und Legalität und demzufolge auch über die Grundlagen ethisch fundierten, eigenverantwortlichen Verhaltens (Leitbild des ehrbaren Kaufmanns, abrufbar unter https://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html). Denn längst nicht alles, was legal ist, ist auch legitim (siehe Bussmann: Integrität durch nach-haltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 53, Interview mit Rudolf X. Ruter, ZRFC 02/17, 57). Und nicht alles, was Recht ist, ist auch gerecht.
Ist „Integrität“ die Moralisierung der Rechtsnorm?
Nachdem sich Compliance nun von einem notwendigen Übel im Unternehmensalltag hin zu einer grundlegen-den Stabsfunktion entwickelt hat, an der vom Geschäfts-führer bis zum Mitarbeiter der Poststelle niemand mehr vorbeikommt, stellt sich die Frage, ob neue Zeiten nicht auch ein neues Compliancedenken erfordern, ein Com-pliancedenken, das sich von starren Vorgaben und der schmerzlichen Sanktionsgetriebenheit löst und das Unternehmen in ein Zeitalter von eigenverantwortlich, moralisch und integer handelnden Personen in allen Be-reichen des Unternehmens entwickelt, die Compliance dafür lieben, was sie ist – ein Zukunftsmotor und ein Ga-rant für langlebigen Erfolg. Das klingt zunächst hochtra-bend und für viele Unternehmen wahrscheinlich noch realitätsfern. Aber dass ein Umdenken stattfinden
7 // Compliance & UnternehmenspraxisAusgabe 3 // September 2018
muss und dies oft ein steiniger Weg ist, haben große deutsche Unternehmen bereits in der Vergangenheit er-fahren (zum Thema Kulturwandel in deutschen Großun-ternehmen siehe „Deutsche Bank, Volkswagen, Siemens. Warum so viele Unternehmen sich mit dem Kulturwan-del schwertun“, Handelsblatt online vom 12.04.2018).
Compliance muss letztlich das Herz und den Verstand ei-nes jeden Mitarbeiters bewegen, damit diese Integrität tatsächlich leben und umsetzen. Experten sagen, nach-haltige Unternehmensführung sei ein langfristig aus-gerichtetes, wertebasiertes und gegenüber Mensch und Umwelt Verantwortung forderndes, gelebtes Konzept und gewinne zunehmend einen immer höheren gesellschaft-lichen Stellenwert (Interview mit O. Schneider, ZRFC 01/18, 10.). Und hier haperte es in der Vergangenheit enorm.
Natürlich ist es illusorisch zu glauben, dass Recht, Nor-men und Gesetze im Compliancemanagement keine Rolle spielen. Im Gegenteil: Sie bilden den Rahmen des Handelns und beschreiben, welche Eckpfeiler für ein Un-ternehmen gelten – vergleichbar mit den Eckfahnen und Spielfeldgrenzen beim Fußball. Doch verfügen Fußball-vereine zur Vermittlung der Spielregeln auch über inten-sive Richtlinien und Trainings, um die Regeln und Anfor-derungen an das Spiel zu erklären? Wohl eher nicht. Aber warum weiß jeder auf recht natürliche Weise, was „Fair Play“ und „unsportliches Verhalten“ ist?
Was plakativ klingt, trifft eigentlich den Kern von Com-pliance: Wie schafft es ein moderner Compliance-Officer, ein Thema natürlich, plastisch und ohne juristische Auf-fangnetze so zu platzieren, dass es eine Selbstverständ-
lichkeit im Unternehmensspiel wird? Oder anders: Wie entwickle ich die notwendige Moral und das gewünsch-te Integritätsverständnis bei den Mitarbeitern?
Die Compliance von morgen
Aller Anfang ist bekanntlich schwer. Hat man es nun nach Jahren mühevoller Aufbauarbeit geschafft, sein Unternehmen mit einem funktionierenden CMS aus-zustatten, ein solides Regelwerk zu erarbeiten, Einstel-lungskriterien nach Compliancegesichtspunkten zu überarbeiten, die Führungspersonen und die Mitarbeiter für die rechtlichen Vorgaben und Verhaltensregeln zu sensibilisieren und regelmäßig zu schulen, da kommen schon wieder neue Gedanken hinzu: Man spricht jetzt von „Ethik“ und „Integrität“.
Zunächst sei erwähnt, dass damit nicht gemeint ist, dass unzählige Compliance-Officer in deutschen Unterneh-men jahrelang das Falsche gemacht hätten. Das aktuelle CMS setzt vielmehr das Fundament für die Zukunft. Mo-derne Compliance-Officer haben aber auch verstanden, dass es mehr gibt als die reine Auslegung des Rechts und das Managen von Risiken, nämlich den Faktor Mensch. Es gibt unterschiedliche Typen des Lernens und Verarbei-tens und Wirkungen von Hierarchie, Führung und Moti-vation zu integrem Handeln.
Integer zu handeln ist aber nicht immer so einfach, wie es klingt, und „Integrität“ selbst ist kein zeitunabhängi-ger Wert, er wächst vielmehr mit seinen Aufgaben (vgl. Bussmann: Integrität durch nachhaltiges Compliance
Management über Risiken, Werte und Unternehmens-kultur, CCZ 2016, 53). Aber es braucht diejenigen, die In-tegrität verstehen, leben und so sehr verinnerlicht ha-ben, dass sie auch große Umstände in Kauf nehmen, um den – persönlichen und beruflichen – Prinzipien treu zu bleiben. Compliance ohne eine Orientierung an Unter-nehmenswerten und vorgelebter moralischer Führungs-kultur wird schwerlich ihrem Hauptzweck, nämlich der Prävention doloser Handlungen, gerecht werden kön-nen. Umgekehrt gilt allerdings auch, dass ein striktes Compliancemanagement die notwendige Basis für jede Unternehmensethik ist (vgl. Wieland: Unternehmens- ethik und Compliance Management. Zwei Seiten einer Medaille, CCZ 2008, 17). Es geht also darum, statt einer allein juristisch geprägten Kontrollkultur eine freiwillige Selbstbindung aus Einsicht zu entwickeln; es kommt da-rauf an, die kodifizierten Werte in den Regeln zu verste-hen und innerlich zu akzeptieren (vgl. Bussmann: Integ-rität durch nachhaltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 54). Der einzelne Mitarbeiter muss wieder mehr als mündi-ger Entscheidungsträger anerkannt werden, der von der Führungsebene wertgeschätzt und dabei unterstützt werden will, gute Entscheidungen zu treffen.
Eine gelebte Fehlerkultur und der offene Umgang mit Fehlverhalten gehören dazu: Begangene Fehler sollen kommuniziert werden, um aus ihnen zu lernen. Das ge-schieht jedoch nur, wenn Mitarbeiter sich trauen, darauf hinzuweisen, und ihnen daraus keine Nachteile entste-hen. Die Vereinbarung von realistischen Leistungszie-len und Boni bei compliancegerechtem Verhalten mag (kurzfristig) einen Erfolg versprechen (zum Thema
8 // Compliance & UnternehmenspraxisAusgabe 3 // September 2018
Kira Uebachs-Lohn
LL.M. oec., Rechtsanwältin, Managerin Forensic & Integrity Services, EY, Köln
[email protected] www.de.ey.com
Andreas Pyrcek
CCEP-I, Diplom-Kaufmann, Partner Forensic & Integrity Services, EY, Düsseldorf
siehe Berendt/Pretzel: Präventiver Schutz vor Compli-ance-Verstößen im Rahmen von Bonusvereinbarungen, CB 2017, 454 ff.). Bonus-/Malus- oder sogar Claw-back-Regelungen sind aber als Motivations- und Sanktions-system weitestgehend überholt, nur in vielen Unterneh-men ist diese neue Realität bisher nicht angekommen: Wer dort einen Fehler macht, muss gehen. Und schlim-mer noch: Wer auf einen Fehler hinweist, wird von den Kollegen rausgemobbt. Einer der wichtigsten Faktoren für einen guten Umgang mit unerwünschtem Verhalten ist deshalb eine gute Fehlerkultur (siehe hierzu Hahne: Compliance als Denkhaltung: Die moralische Unterneh-menskultur, abrufbar unter www.haufe.de). Aber jeder Kulturwandel ist schwer, denn man muss sich nicht nur von etwas Altem verabschieden, sondern auch etwas Neues annehmen (siehe Bussmann: Integrität durch nachhaltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 53). Wichtig bei einem Kulturwandel ist – wie so oft – gute Kommu-nikation, die zum Unternehmen passt und die gesam-te Belegschaft durchdringt. Erlaubt ist hier im Übrigen, was gefällt, vom einfachen Poster über die praktische Taschenkarte bis zum emotionalen Film, schlicht alles, was positive Aufmerksamkeit für Compliance generiert (zu Kommunikation im Unternehmen siehe Möhrle/Weinen: Ist Integrität messbar?, CCZ 2016, 254 ff. und Proll-Grewe: Compliance-Kommunikation, CCZ 2017, 143 f). Noch viel wichtiger ist auch hier die Rolle, die die Führungskräfte einnehmen. In keinem Bereich des ge-schäftlichen Lebens sind der Einsatz und das Bekennt-nis der Leitungsebene so wichtig wie beim Aufbau einer Integritätskultur – die persönlichen Eigenschaften einer Führungsperson müssen mit ihren öffentlichen und pri-
vaten Erklärungen und ihren direkten und indirekten Handlungen übereinstimmen (hierzu bereits Rosbach: Ethik in einem Wirtschaftsunternehmen – nützlich oder überflüssige Förmelei?, CCZ 2008, 103). Ohne diese Kon-sequenz geht es nicht.
Am Ende muss es also beides geben, um das Unterneh-men für die Zukunft fit zu machen: die an den rechtli-chen Vorgaben orientierte Compliancepflichtübung und die an moralisch-ethischen Grundwerten orientierte In-tegritätskür. Und für die individuelle Ausgestaltung ist in den meisten großen und auch mittelständischen Unter-nehmen sicherlich noch Luft nach oben.
Doch ist das alles? Leider nein – denn auch das klassi-sche „CMS-Rad“ wird sich weiterdrehen, sei es durch die Ausweitung des klassischen Risikoumfelds der Com-plianceorganisation, durch die Veränderung der Unter-nehmensorganisation, -kultur und -prozesse aufgrund der Einflüsse der digitalen Transformation oder durch die Weiterentwicklung präventiver und aufdeckender Compliancesystemelemente (vgl. hierzu auch DICO e.V.: Erwartungen an eine Compliance Funktion 4.0., Thesen zur digitalen Zukunft von Compliance). Diese Verände-rungen werden signifikanten Einfluss auf die Gover-nance und die Operations der Complianceorganisation von morgen haben.
Fazit
„Compliance“ ist kein statischer Begriff, sondern befin-det sich heute mehr denn je im Wandel. Die rein juristi-
sche Herangehensweise wirkt zunehmend limitiert und nicht mehr zeitgemäß. Moderne Compliance-Officer sollten sich daher von starren rechtlichen Vorgaben lösen und den „Faktor Mensch“ mehr in ihre tägliche Arbeit einbeziehen – was auf der Basis der bisherigen Herangehensweise in der praktischen Umsetzung nicht immer einfach ist; aber es lohnt sich, den Blick über den Tellerrand zu wagen. Veränderungen, bedingt durch neue Strategien und die Umsetzung der digitalen Trans-formation, haben enormen Einfluss auf die Themen der Complianceorganisation und -Strategie. Darüber hinaus werden sich auch das Compliance-Office und das CMS der Zukunft einer Modernisierung nicht verschließen können. Es bleibt also spannend.
9 // ComplianceBusiness // Ausgabe 3 // September 2018 ANZEIGE
AnwaltSpiegelDeutscher
Nähere Informationen zum Programm sowie die Anmeldeformulare � nden Sie unter: www.deutscheranwaltspiegel.de/roundtable
Roundtable-Termine im Herbst 2018:18. September 2018
Arbeitsrecht in Zentraleuropa –Was Unternehmen und Investoren beachten müssenRedaktionsgebäude der F.A.Z., Frankfurt am Main, 15–19 Uhr Kooperationspartner:
10. Oktober 2018
Musterfeststellungsklage vs. Sammelklagen – Was auf Unternehmen zukommtRedaktionsgebäude der F.A.Z., Frankfurt am Main, 15–19 Uhr Kooperationspartner:
Online | Roundtable | Spezial | Panel
DAS-Roundtable_Anzeige_alle-Formate.indd 7 11.09.2018 12:14:41
10 // Compliance & IT
„Klassische“ Compliance und IT: stark verwobenZukunftsvision ist die komplette Zusammenführung beider Bereiche
Von Christian Parsow und Hanno Baur
Einleitung
Kaum ein Prozess wird ohne den Einsatz von IT umgesetzt, auch die Complianceprozesse bilden hier keine Ausnah-me mehr. Sei es bei dem sogenannten Know-your-Cus-tomer Prozess, bei der Überwachung der Urheberrech-te etwa im Rahmen des Lizenzmanagements oder bei
Transaktionsanalysen. Im Allgemeinen wird diese Unter-stützungsleistung unter den Begriff „Compliance durch IT“ subsumiert und erstreckt sich von der einfachen Be-rechtigungsvergabe auf Ebene des Dateisystems bis hin zu speziellen Complianceanwendungen, mit denen der gesamte Complianceprozess abgebildet wird. Trotz die-ser zentralen Rolle bei der Complianceumsetzung haben
IT-Abteilungen selbst oft ein „IT-Eigenleben“ entwickelt, welches in der Regel durch eine Art Technikbarriere er-klärt wird und sich auch in der Kommunikation wider-spiegelt. Zusätzlich hat die Verknüpfung der einzelnen IT-Systeme die Komplexität dabei oft so erhöht, dass im Rahmen von internen Complianceuntersuchungen sel-ten ausreichend Ressourcen zur Verfügung stehen, um verwendete Systeme tiefergehend zu analysieren.
Compliance
Bei der Kommunikation zwischen der IT-Abteilung und dem restlichen Unternehmen gehen oftmals Informa-tionen verloren. Beispielsweise haben Erkenntnisse aus Sicherheitsvorfällen ergeben, dass immer wieder die Regeln zur Passwortweitergabe nicht verstanden wurden, obwohl in diesen Fällen die Weitergabe der betrieblichen Passwörter an Dritte über eine interne Regelung, meist eine entsprechende Passwortrichtli-nie, nicht gestattet war. Passwörter wurden dabei zwar keiner natürlichen Person weitergegeben, aber zur Au-thentifizierung bei unternehmensfremden Diensten verwendet. Durch Datenlecks gerieten Passwörter
Ausgabe 3 // September 2018
Fast keine Compliance-untersuchung und kein Complianceprozess erfol-gen mehr ohne IT-Einsatz.
© Le
oWol
fert
/Thi
nkst
ock/
Get
ty Im
ages
11 // Compliance & ITAusgabe 3 // September 2018
in die Hände Dritter und wurden dort zum Beispiel für Wörterbuchangriffe verwendet. Dabei werden auto-matisch alle Passwörter aus einem vorher zusammen-gestellten Wörterbuch bei einem Hackerangriff auf ein Unternehmen verwendet. Ähnlich sah es bei der Umsetzung der Richtlinien in den IT-Abteilungen aus: Die Unternehmensregeln werden zwar für die Anwen-der implementiert, für die administrativen Mitarbeiter der IT-Abteilung werden diese Regelungen, wie etwa das „Need-to-know-Prinzip“, jedoch nicht immer um-gesetzt. Die Ausnahmen werden darüber hinaus nicht überall durch passende organisatorische Maßnahmen, wie etwa ein Vier-Augen-Prinzip oder entsprechende Protokollierung, kompensiert.
Fatal ging ein Complianceverstoß bei einem Halbleiter-hersteller aus. Hier führte ein Mitarbeiter der IT den vor-gesehenen Virenscan nach einem Download nicht durch und verifizierte die Datei auch nicht auf anderem Wege. So wurde ein Virus in das Unternehmensnetzwerk ein-gebracht, der mehrere Produktionsstandorte lahmlegen konnte. Auch werden immer wieder Fälle öffentlich, bei denen sensible Daten auf mobile Datenträger kopiert wurden und diese dann verlorengingen, zum Beispiel zu-letzt die Personaldaten von 80 JVA-Beamten.
IT-Sicherheit
Durch den Fachkräftemangel und zur Vorbereitung von Social-Engineering-Angriffen ist es zu einer Ausweitung der für Angreifer interessanten Angriffsziele gekommen. Waren in der Vergangenheit technische Informationen
und Zahlungsströme im Fokus der internen und exter-nen Angreifer, sind jetzt auch vorher vernachlässigte Informationen wie zur Aufbauorganisation oder Daten über das Fachpersonal in das Interesse der Angreifer ge-rückt, da sich diese Daten zum Beispiel zur Vorbereitung des sogenannten CEO-Frauds oder zur gezielten Identifi-kation von potentiell abwerbbarem Fachpersonal leicht monetarisieren lassen.
Das Bekanntwerden von Schwachstellen aus den Sammlungen von Geheimdiensten, die etwa für die Ver-breitung von Ransomware – also Schadsoftware, die die Daten von befallenen Systemen verschlüsselt und den Opfern den Entschlüsselungs-Key zum Kauf „anbietet“ – verwendet wurden, führte zu einer Weiterentwicklung des Updatemanagements. Das Risiko Opfer eines sol-chen Angriffs zu werden, ist allerdings immer noch vor-handen. So stehen noch viele IT-Abteilungen vor der He-rausforderung, dass Applikationen nicht immer zeitnah eine Freigabe für die Updates der Betriebssystemum-gebungen erhalten. Zusätzlich werden zunehmend IoT-Devices oder Geräte, die teilweise noch nicht vom Updatemanagement erfasst werden, wie beispielswiese Multifunktionsdrucker, die auch als Faxgerät fungieren, angegriffen.
IT-Forensik
Die Konsolidierung und Vernetzung der IT-Infrastruktur wirkt sich auch auf die IT-Forensik und somit auf Com-plianceuntersuchungen aus. Hier ist für Unternehmen zunehmend von Interesse, ob ein Innentäter ausge-
schlossen werden kann, wobei die klassischen Frage-stellungen zum Modus Operandi, also wer wann was getan hat, nicht an Bedeutung verlieren. Durch die hö-here Anzahl an Devices sind dabei auch die zu analy-sierenden Daten sprunghaft angestiegen. Waren in der Vergangenheit meist Daten auf lokalen Geräten, Daten in Netzwerkfreigaben und auf Servern mögliche Quel-len, sind heute mobile Devices, Datenräume und diver-se unterschiedliche Kommunikationsplattformen in die Betrachtung miteinzubeziehen. Weiterhin haben die IT-Abteilungen das Thema „ IT-Forensik“ nur selten auf der eigenen Agenda.
Zusammenspiel IT-Compliance, IT-Sicherheit und IT-Forensik
Ein Dauerthema, das sich auf alle drei beschriebenen Aspekte gleichermaßen auswirkt, bleibt die sogenann-te Schatten-IT, also IT-Infrastruktur, die sich nicht unter der Kontrolle der IT-Abteilung befindet. Waren zuerst unverschlüsselte, private Datenträger Hauptproble-me der Schatten-IT, haben heute fast alle Mitarbeiter einen „Klein-PC“ in Form eines Smartphones am Ar-beitsplatz. Sie sind funktionale, übersichtliche und per-formante Anwendungen gewohnt und können Funk-tionen – die ihnen die eigene IT eventuell nicht zur Verfügung stellt – einfach substituieren. Dabei wer-den nicht nur die Kommunikation unter Kollegen über den privaten Messenger durchgeführt oder gesperrte Websites über private Devices angesteuert, sondern auch fehlende Internetverbindung wird über ein priva-tes Device aufgebaut. Außerdem werden Dateien/
12 // Compliance & ITAusgabe 3 // September 2018
Hanno Baur
Manager IT-Forensic, Compliance & Investigations, Ebner Stolz, Köln
[email protected] www.ebnerstolz.de
Programme über das private Gerät aus dem Internet heruntergeladen. All dies ist für die IT-Compliance, die IT-Sicherheit und die IT-Forensik gleichermaßen un-kontrollierbar und somit extrem risikobehaftet, da hier der IT-Sicherheitsprozess sowie Archivierungsprozesse nicht greifen können und auch Daten nach einem Si-cherheitsvorfall nicht oder nur umständlich analysiert werden können.
Die drei Bereiche können sich zudem auch im Zielkon-flikt befinden. Dieses Spannungsfeld wurde zum Bei-spiel durch das „VPN-Verbot“ in China deutlich, durch das die Verwendung von Virtuellen Privaten Netzwer-ken (VPN) eingestellt beziehungsweise die genutzten VPN-Verbindungen lizenziert oder auf ein lizenziertes VPN umgestellt werden mussten. VPN sind in der IT-Sicherheit die Standardlösung, wenn unterschiedliche Unternehmensteile über ein unsicheres Netz (zum Bei-spiel das Internet) verbunden werden. Dabei wird der gesamte Datenverkehr zwischen den Unternehmens-teilen verschlüsselt, was dazu führt, dass er auf der Transportstrecke nicht gelesen werden kann und Än-derungen detektierbar werden. Unternehmensteilen in China steht diese Art der Absicherung jetzt nur noch insoweit zur Verfügung, als das Unternehmen davon ausgehen muss, dass der Datenverkehr durch den Staat entschlüsselt und geprüft wird. Die Vertraulichkeit der Datenübertragung kann durch diese gesetzliche Vor-gabe nicht mehr über die bewährte Methode sicher-gestellt werden. Gleichzeitig steht die IT-Forensik vor dem Problem, dass hier Daten nicht nur eingesehen, sondern auch in irgendeiner Weise verändert werden könnten.
Integration von Compliance und IT
Wie die obigen Beispiele aus den einzelnen Bereichen zeigen, sind die „klassische“ Compliance und die IT stark verwoben. Fast keine Complianceuntersuchung und kein Complianceprozess erfolgen mehr ohne IT-Einsatz, und vielfältige Compliancerisiken betreffen IT und Compli-ance gleichermaßen. Hierbei ist etwa auch das Thema Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) zu nennen, bei dem rechtliche auf IT-Anforde-rungen prallen. Dies hat bei vielen Projekten im Rahmen der DSGVO zu Verständigungsproblemen und Zeitverzug geführt. Weiterhin sind die o.g. Beispiele im Bereich der „Schatten-IT“ derzeit in vielen Unternehmen komplett ungesteuert.
Fraglich ist nun, wer endgültig die Verantwortung für die Identifizierung von IT-Risiken und deren Abarbei-tung trägt, da die Risiken und Maßnahmen aufgrund der zunehmenden Digitalisierung nicht trennscharf zu-gewiesen werden können. Hinzu kommt, dass oftmals ein Kommunikationsproblem zwischen den rein tech-nisch getriebenen IT-Mitarbeitern und den juristisch geprägten Compliancemitarbeitern besteht. Insoweit empfiehlt es sich, die Complianceabteilung und die IT-Abteilung ein Stück weit zusammenwachsen zu lassen – sei es durch Aufnahme der IT in eventuell vorhandene Compliancekomitees, den Austausch von Mitarbeitern oder, als Zukunftsvision, die komplette Zusammenfüh-rung von IT und Compliance.
Christian Parsow
Partner, Compliance & Investigations, Ebner Stolz, Köln
13 // Compliance & WhistleblowingAusgabe 3 // September 2018
Hinweisgeber besser schützen Im Blickpunkt: Der Richtlinienentwurf der EU-Kommission zum Schutz von Whistleblowern
Von Dr. Susanne Stauder
Viele Ereignisse der jüngeren Vergangenheit, etwa der VW-Dieselskandal oder die Enthüllungen um die Pana-ma Papers, sind in der Öffentlichkeit erst durch Hinweise einzelner Personen oder Organisationen bekanntgewor-den. Sie haben Ermittlungen „losgetreten“, in deren Folge es bereits zu strafrechtlichen Verurteilungen einzelner involvierter Personen kam oder bei denen sie jedenfalls im Raum stehen. Die Offenlegung der Missstände war und ist für die Hinweisgeber selbst zuweilen mit Risiken verbunden, die uneinheitliche Regelung innerhalb der EU-Staaten zum Schutz dieser Hinweisgeber tut ein Üb-riges. Dies will die EU-Kommission ändern. Sie verweist darauf, dass viele der jüngsten Skandale nicht ans Licht gekommen wären, „hätten Hinweisgeber nicht den Mut gehabt, sie zu melden. Dabei haben sie jedoch große Risi-ken auf sich genommen. Wenn wir Hinweisgeber besser schützen, können wir Gefahren für das öffentliche In-teresse, wie Betrug, Korruption, Steuervermeidung und Schäden für unsere Gesundheit und die Umwelt, bes-ser erkennen und vermeiden.“ Mit diesen Worten stellte Frans Timmermans, Vizepräsident der EU-Kommission, am 23.04.2018 einen Richtlinienentwurf „zum Schutz von Personen, die Verstöße gegen das Unionsrecht mel-
den“, vor. Er soll nach Ansicht der Kommission auch jene schützen, „die investigativen Journalisten als Quelle die-nen und damit dazu beitragen, dass die Meinungsfrei-heit und die Medienfreiheit in Europa gewahrt bleiben.“
Ziel dieses Beitrags ist es, die wesentlichen Punkte dieses Richtlinienentwurfs näher darzustellen.
Anwendungsbereich, Art. 1 f. RL-Vorschlag
Als Hinweisgeber definiert die Richtlinie Personen, die im Zusammenhang mit ihrer Arbeitstätigkeiten erlang-te Informationen über Verstöße melden oder offenlegen. Deren Schutz ist Ziel des Kommissionsvorschlags.
Der persönliche Anwendungsbereich der Richtlinie ist bewusst weit gefasst: Geschützt werden sollen nicht nur Arbeitnehmer im privaten oder öffentlichen Sektor, son-dern auch Selbständige, Mitglieder des Leitungsorgans sowie Subunternehmer, darüber hinaus auch Hinweis-geber, deren Arbeitsverhältnis noch nicht begonnen hat und die während des Einstellungsverfahrens oder
Wenn Hinweisgeber besser geschützt werden, können Gefahren für das öffent-liche Interesse erkannt und vermieden werden.
© w
ildpi
xel/
Thin
ksto
ck/G
etty
Imag
es
14 // Compliance & WhistleblowingAusgabe 3 // September 2018
anderer vorvertraglicher Verhandlungen Informationen über einen Verstoß erlangt haben.
Sachlich begrenzt die Richtlinie den Anwendungsbe-reich auf Verstöße gegen Unionsrecht, die sich unter an-derem auf die Bereiche öffentliches Auftragswesen, Pro-dukt- und Verkehrssicherheit, Umweltschutz, aber auch den Bereich öffentliche Gesundheit, Verbraucherschutz, Lebensmittelschutz und Finanzdienstleistung beziehen.
Dreigliedriges Meldesystem, Art. 4 ff. RL-Vorschlag
Die Richtlinie sieht ein dreigliedrig gestaffeltes Melde-system vor. Schutz erfährt der Hinweisgeber nur, wenn er die vorgesehenen Eskalationsstufen einhält. Wendet er sich an die Öffentlichkeit, ohne zuvor intern und/oder extern eine entsprechende Meldung erstattet zu haben, fällt er nicht unter den Schutz der Richtlinie.
Zunächst sind interne Verfahren zur Meldung von Rechtsverstößen über vertrauenswürdige Kommunika-tionswege zu schaffen, die einen sicheren Umgang mit sensiblen Informationen gewährleisten. Ziel ist es, dass die Hinweise zu den gegebenenfalls erfolgten Verstößen unmittelbar an die Personen weitergeleitet werden, die die Angelegenheit qualifiziert und kurzfristig untersu-chen, bewerten und beseitigen können. Die entsprechen-den Meldekanäle müssen so konzipiert, eingerichtet und betrieben werden, dass zum einen die Vertraulichkeit der Identität des Whistleblowers gewährleistet und zum an-deren der Zugriff unbefugter Mitarbeiter auf diese Kanä-le ausgeschlossen ist.
Die Pflicht zur Einrichtung interner Meldekanäle soll ab-hängig sein von der Größe des Unternehmens. Juristische Personen des Privatrechts mit mindestens 50 Beschäftig-ten oder mit einem Jahresumsatz oder einer Jahresbilanz-summe von mehr als 10 Millionen Euro sollen interne Mel-dekanäle errichten. Klein- und Kleinstunternehmen sind indes von dieser Pflicht ausgenommen. Eine Rückausnah-me wiederum gilt für den Finanzdienstleistungsbereich oder für Unternehmen, die für Geldwäsche und Terroris-musfinanzierung anfällig sind. Ferner müssen alle Landes- und Regionalverwaltungen und Gemeinden mit mehr als 10.000 Einwohnern derartige Meldekanäle vorhalten.
Alternativ können die Meldekanäle von einem Dritten bereitgestellt werden, beispielsweise Prüfern, Gewerk-schaftsvertretern oder externen Anbietern von Melde-plattformen. Auch für den Dritten gelten die vorgenannten Voraussetzungen: Die Vertraulichkeit des Hinweisgebers muss gewährleistet werden, und andere Mitarbeiter dür-fen keinen Zugriff auf die entsprechenden Daten haben.
Erst in einem zweiten Schritt, wenn also entweder keine Reaktion auf entsprechende Hinweise über interne Mel-dekanäle erfolgt oder aber das Unternehmen aufgrund seiner Größe nicht angehalten ist, interne Meldekanäle einzurichten, ist dem Hinweisgeber die Möglichkeit zu gewähren, sich direkt an staatliche Kontrollbehörden zu wenden. Die Mitgliedstaaten sollen die für die Ent-gegennahme der Meldungen zuständigen Behörden benennen und für die Einhaltung der Anforderungen an den Meldekanal Sorge tragen. Die zu erfüllenden Kri-terien sind identisch mit den Voraussetzungen, die die Richtlinie für interne Meldekanäle vorsieht.
Erst wenn den internen und/oder extern gemeldeten Verstößen des Whistleblowers nicht nachgegangen wurde, wird er auch geschützt, wenn er sich an die Öf-fentlichkeit wendet, vgl. Art. 13 Abs. 4 RL-Vorschlag.
Schutz des Hinweisgebers und betroffener Personen, Art. 13 ff. RL-Vorschlag
Die Richtlinie regelt ferner, dass jegliche Vergeltungsmaß-nahmen gegen den Hinweisgeber untersagt und auch zu ahnden sind. Beispielhaft werden hier unter anderem Entlassung, Herabstufung, Versagung einer Beförderung, Gehaltseinbußen und vorzeitige Kündigung angeführt. Die Beweislast ist diesbezüglich umgekehrt, das heißt, das von der Meldung betroffene Unternehmen oder die Organisation muss nachweisen, dass sie gerade keine Ver-geltungsmaßnahmen gegen den Hinweisgeber ergreift. Auch in einem möglichen Prozess ist dem Hinweisgeber umfassend Schutz zu gewähren, vgl. Art. 16 RL-Vorschlag.
Sanktionen, Art. 17 RL-Vorschlag
Schließlich sind Sanktionen festzulegen für den Fall, dass die Abgabe von Meldungen behindert wird, Repressalien oder mutwillige Gerichtsverfahren gegen den Whist-leblower angestrengt werden, ferner dann, wenn das jeweilige Unternehmen oder die Behörde die Vertrau-lichkeit der Identität des Hinweisgebers nicht wahrt. Spiegelbildlich sollen aber natürlich auch Unternehmen und Behörden/Organisationen vor böswilligen oder in missbräuchlicher Absicht abgegebenen Meldungen
15 // 15 // Compliance & Whistleblowing
Dr. Susanne Stauder
Rechtsanwältin, Salaried Partnerin, Heuking Kühn Lüer Wojtek, Düsseldorf
[email protected] www.heuking.de
geschützt werden. Daher sind für diese Konstellationen ebenfalls entsprechende Sanktionen vorzuhalten.
Fazit
Die Kommission hofft, dass es vor Mai 2019 mit den Mit-gliedstaaten und dem EU-Parlament zu einer Einigung über die Regelungen kommt, damit die Richtlinie noch vor den Europawahlen verabschiedet werden kann. Ziel soll eine Umsetzung in den Mitgliedstaaten bis Mitte Mai 2021 sein. Dabei ist es den einzelnen EU-Staaten un-benommen, günstigere Bestimmungen über die Rechte der Hinweisgeber einzuführen oder auch beizubehalten, vgl. Art. 19 RL-Vorschlag.
Ungeachtet der Frage, in welcher Form Deutschland diese Richtlinie in nationales Recht umsetzt: Die zu-ständigen Institutionen sollten sich zeitnah mit dem Thema der Implementierung eines internen Hinweis-gebersystems und einzelnen Schutzmechanismen für Whistleblower befassen und prüfen, ob und inwieweit etwaige Vorgaben in ein bestehendes Compliancema-nagementsystem implementiert werden. Dies und die damit einhergehenden datenschutz- und arbeitsrecht-lichen Aspekte bringen finanziellen und administrativen Mehraufwand mit sich, der nicht zu unterschätzen ist.
Subscribe for free: www.laborlaw-magazine.com
The Labor Law Magazine is an online English-language magazine primarily aimed at company lawyers, HR specialists, compliance officers, managing directors, jud-
ges, prosecutors and attorneys in Germany and in Germany’s leading trade partners. In articles written with real-world legal practice in mind, the magazine explores all important questions related to German labor law.
Made in Germany
Published by
Strategic Partners
LLMMade in Germany
www.laborlaw-magazine.com No. 2 – June 25, 2018
In this issue Data protection – Labor law – Labor law & company organization
Labor law & mobile working – Labor law & restructuring – Immigration law & tax law
www.laborlaw-magazine.com Next Issue: September 24, 2018
16 // CompliancepraxisAusgabe 3 // September 2018
Paukenschlag oder doch nur eine Bagatelle?Jones Day: Bundesverfassungsgericht entscheidet über Durchsuchung und Beschlagnahme von Unterlagen bei einer Kanzlei
Gastbeitrag von Daniel Kreienkamp
Das Bundesverfassungsgericht hat in einer vielbeach-teten Entscheidung über die Verfassungsmäßigkeit der Durchsuchung der Kanzleiräume von Jones Day in München und der Beschlagnahme von Unterlagen im Zusammenhang mit der internen Ermittlung bei der Volkswagen AG wegen des sogenannten Dieselskandals entschieden. Im Ergebnis hat das Gericht keine verfas-sungsrechtlichen Bedenken gegen die Durchsuchung und Beschlagnahme der Unterlagen und hat daher die Verfassungsbeschwerden der Volkswagen AG, der AUDI AG, der Kanzlei Jones Day sowie der für Jones Day täti-gen Rechtsanwälte abgewiesen (BVerfG, Beschluss vom 27.06.2018 – 2BvR 1405/17, 2 BvR 1780/17).
Jones Day als interner Ermittler im Auftrag der Volkswagen AG
Die Volkswagen AG hat im September 2015 die US-ame-rikanische Kanzlei Jones Day mit der internen Ermittlung im Zusammenhang mit dem sogenannten Dieselskan-dal beauftragt. Die Mandatierung erfolgte insbesonde-re vor dem Hintergrund des in den USA geführten ©
B
rianA
Jack
son/
Thin
ksto
ck/G
etty
Imag
es
Das Gericht hat keine verfassungsrechtlichen Bedenken gegen die Durch-suchung und Beschlag-nahme der Unterlagen.
17 // CompliancepraxisAusgabe 3 // September 2018
strafrechtlichen Ermittlungsverfahrens. In den USA hat Volkswagen mit den Ermittlungsbehörden vollständig kooperiert. Ein Abschlussbericht von Jones Day wurde – entgegen der ursprünglichen Ankündigung – nicht veröffentlicht. Dies wurde damit begründet, dass die Er-mittlungsergebnisse in die Sachverhaltszusammenfas-sung der veröffentlichen Einigung mit dem US-amerika-nischen Justizministerium eingeflossen seien.
Die Staatsanwaltschaften Braunschweig und München II ermitteln gegen verschiedene Beschuldigte wegen des Verdachts des Betrugs und strafbarer Werbung. Die Staatsanwaltschaft München II hat im März 2017 die Durchsuchung der Münchner Geschäftsräume der Kanz-lei Jones Day veranlasst und zahlreiche Aktenordner und elektronische Daten mit den Ergebnissen der internen Ermittlung sichergestellt. Das Amtsgericht München hat die Sicherstellung bestätigt. Die hiergegen erhobe-nen Beschwerden blieben erfolglos.
Durchsuchung und Beschlagnahme verfassungsrechtlich vertretbar
Im Rahmen eines einstweiligen Rechtsschutzverfahrens hatte das Bundesverfassungsgericht der Staatsanwalt-schaft München II zunächst aufgegeben, die sicherge-stellten Unterlagen versiegelt beim Amtsgericht Mün-chen zu hinterlegen.
Das Bundesverfassungsgericht hat nun alle Verfassungs-beschwerden ziemlich deutlich abgewiesen. Im Hinblick auf die Volkswagen AG hat das Bundesverfassungsge-
richt entschieden, dass diese nicht in ihrem Grundrecht auf Unverletzlichkeit der Wohnung verletzt sei, da die Geschäftsräume der Kanzlei und nicht ihre eigenen Ge-schäftsräume durchsucht worden seien. Die Sicherstel-lung der bei Jones Day aufgefundenen Unterlagen und Dateien sei verfassungsrechtlich gerechtfertigt, und die Anwendung der strafprozessualen Vorschriften durch das Gericht sei nicht zu beanstanden. Der Volkswagen AG komme auch keine Beschuldigten- oder beschuldig-tenähnliche Stellung im Strafverfahren der Staatsan-waltschaft München II zu. Die beschuldigtenähnliche Stellung im parallelen Strafverfahren der Staatsanwalt-schaft Braunschweig sei unbeachtlich. Die beschuldig-tenähnliche Stellung der Tochtergesellschaft AUDI AG im Ermittlungsverfahren der Staatsanwaltschaft Mün-chen II sei ebenfalls unerheblich.
Die Kanzlei Jones Day als US-amerikanische Kanzlei sei nicht beschwerdeberechtigt. Die für die Kanzlei Jones Day handelnden Rechtsanwälte hätten nicht hinrei-chend vorgetragen, dass sie in eigenen Grundrechten verletzt seien, so dass auch insoweit die Verfassungsbe-schwerde zurückgewiesen wurde.
Aufschrei gegen die Entscheidung
Die Entscheidung des Bundesverfassungsgerichts hat zu einem erheblichen Echo in der Fach- und allgemei-nen Presse geführt und ist vielfach – teils auch scharf – kritisiert worden. Allerdings ist festzuhalten, dass das Bundesverfassungsgericht die allgemein herrschende Auffassung zu den strafprozessualen Regelungen stützt,
insbesondere zur Nichtanwendbarkeit von § 160a StPO im Verhältnis zum Beschlagnahmeverbot des § 97 StPO. Vor diesem Hintergrund kann man wohl nicht von ei-ner überraschenden Entscheidung sprechen. Das Bun-desverfassungsgericht stellt bei der restriktiven Ausle-gung insbesondere auch auf die verfassungsrechtlich gebotene Effektivität der Strafverfolgung ab und sieht andernfalls ein hohes Missbrauchspotential. So könnten Beweismittel bei einem Rechtsanwalt vor den Strafer-mittlungsbehörden in „Sicherheit“ gebracht werden. Die Auffassung des Bundesverfassungsgerichts deutet zwar auf eine kritische Grundeinstellung zuungunsten von Unternehmen und ihren Beratern hin, ist aber auch nicht völlig von der Hand zu weisen.
Zu einer vielfach erhofften Rechtsklarheit hat das Bun-desverfassungsgericht jedenfalls nicht beigetragen. Es verbleibt vielmehr bei der bisherigen Rechtsunsicher-heit.
Praxisfolgen
Wenn ein Unternehmen eine Kanzlei mit internen Er-mittlungen beauftragt, muss es zumindest damit rech-nen, dass etwaige im Zusammenhang mit der internen Ermittlung stehende Unterlagen und Arbeitsergebnisse derzeit gegebenenfalls nicht vor dem Zugriff der Staats-anwaltschaft geschützt sind. Unternehmen, gegen die in Deutschland und den USA ermittelt wird, stehen vor der besonderen Herausforderung, wie sie zukünftig mit den verschiedenen Anforderungen der Rechtsordnun-gen umgehen sollen.
18 // CompliancepraxisAusgabe 3 // September 2018
Zudem wirft die Entscheidung die weitere Frage auf, wie sich Mitarbeiter im Rahmen von internen Ermitt-lungen zukünftig verhalten werden, wenn sie befürch-ten müssen, dass ihre Angaben auf Umwegen zu Straf-ermittlungsbehörden gelangen, obwohl sie sich bei einer unmittelbaren Befragung auf ein Zeugnisverwei-gerungsrecht berufen könnten. Die bisher bestehenden Spannungs- und Problemfelder bei einer internen Er-mittlung sind durch die Entscheidung des Bundesverfas-sungsgerichts nicht beseitigt worden, sondern bestehen weiter fort.
International aufgestellte Kanzleien stehen vor der He-rausforderung zu überlegen, ob und inwieweit sie ihre internationale gesellschaftsrechtliche Struktur zukünf-tig gestalten wollen, um gegebenenfalls in Deutsch-land Grundrechtsschutz zu genießen. Hierbei muss man sich fragen, ob die etwaigen Vorteile einer inter-national einheitlichen Struktur der Kanzlei das Risiko einer fehlenden Grundrechtsfähigkeit in Deutschland aufwiegen. Diese Entscheidung muss jede Sozietät für sich und unter Berücksichtigung der individuellen Struktur und Tätigkeitsbereiche treffen. Die Problema-tik fehlenden Grundrechtsschutzes betrifft aber nicht nur US-amerikanische und andere Drittstaatenkanz-leien. Vielmehr sollten sich – vor dem Hintergrund des mindestens möglichen harten Brexits – auch Kanzleien mit Hauptsitz in Großbritannien mit diesem Thema be-schäftigen.
Es bleibt abzuwarten, ob Ermittlungsbehörden zukünf-tig verstärkt auf die Durchsuchung von Kanzleien set-zen, um an Informationen und etwaige Beweismittel zu
gelangen. Jedenfalls sollten Kanzleien für den Ernstfall einer Durchsuchung vorbereitet sein.
Ausblick
Die Entscheidung des Bundesverfassungsgerichts hat die Alarmglocken vieler Betroffener nochmals schrillen lassen. Es bleibt abzuwarten, ob der Gesetzgeber die Ent-scheidung zum Anlass nimmt, klare Regelungen für den Umgang mit internen Ermittlungen und die Durchsu-chung und Beschlagnahme von Unterlagen bei Kanzlei-en zu erlassen. Derzeit existieren bereits verschiedene Diskussionsvorschläge zur Einführung eines Strafrechts für Unternehmen. Teilweise sehen diese auch Regelun-gen zur Tätigkeit von Kanzleien als interner Ermittler oder Monitor vor. Auch der Koalitionsvertrag sieht die Einführung eines Unternehmenssanktionsrechts vor, so dass sich ein gleichzeitiges Aufgreifen von Regelungen im Hinblick auf interne Ermittlungen eigentlich aufdrän-gen müsste.
Zudem ist zu hoffen, dass der Gesetzgeber das anwaltli-che Berufs- und Gesellschaftsrecht reformiert, das bisher weiterhin an der Idealvorstellung eines Einzelanwalts oder einer kleinen nationalen Sozietät anknüpft, die Re-alität der großen internationalen Wirtschaftskanzleien aber ausblendet.
Hinweis der Redaktion: Im Deutschen AnwaltSpiegel hat Markus Hartung die „Jones Day“-Entscheidung des Bundesverfassungsgerichts kommentiert: „The Horror! The Horror!“. Siehe dazu HIER. (tw)
Daniel Kreienkamp
Rechtsanwalt, Senior Associate, Clyde & Co, Düsseldorf
[email protected] www.clydeco.com
19 // Compliance internationalAusgabe 3 // September 2018
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
© R
icha
rd V
illal
onun
defin
ed u
ndef
ined
/Thi
nkst
ock/
Get
ty Im
ages
Neu: UK Corporate Criminal OffenceCriminal Finances Act: Verschärfter Kampf gegen Steuerhinterziehung fordert auch deutsche Unternehmen zum Handeln auf
Von Victoria Wildhirt und Timo Purkott
Nach Angaben des europäischen Parlaments entge-hen der EU jährlich zwischen 50 und 70 Milliarden Euro durch Steuerhinterziehung von Unternehmen wie Pri-vatpersonen. Die Bekämpfung von Steuerhinterziehung steht daher zunehmend im Fokus von Regulatoren. Nach der Einführung von Regelungen zum grenzüberschrei-tenden Austausch von Steuerinformationen wie FATCA und CRS wird mit dem UK Corporate Criminal Offence (UK CCO) nun ein neuer Unternehmensstraftatbestand im globalen Kampf gegen Steuerkriminalität eingeführt. Auch deutsche Unternehmen sind aufgrund der extra-territorialen Wirkung von den neuen Anforderungen be-troffen.
Als Teil des Criminal Finances Act fordert der UK Cor-porate Criminal Offence, dass Unternehmen präventive Maßnahmen ergreifen, um die Beihilfe zur Steuerhinter-ziehung durch die eigenen Mitarbeiter oder durch im Auftrag des Unternehmens handelnde Dritte zu verhin-dern. Eine Nichteinhaltung der Regelungen des UK CCO kann unter Umständen zu Geldstrafen in unbegrenzter Höhe und im schlimmsten Fall zum Lizenzentzug füh-ren.
Die Nichteinhaltung der Regelungen des UK CCO kann zu Geldstrafen in unbegrenzter Höhe und zum Lizenzentzug führen.
20 // Compliance international
*Anmerkung: Im Fall einer Steuerhinterziehung britischer Steuern ist es irrelevant, ob das Finanzinstitut nach britischem oder ausländischem Recht gegründet wur-de oder ob die assoziierte Person, die die illegale Beihilfe durchgeführt hat, sich im UK oder außerhalb befindet.
**Anmerkung: Nur Finanzinstitute mit UK-Nexus wird der Foreign Offence zur Last gelegt. Unter den folgenden Bedingungen wird ein Foreign Office von einem Finanzinstitut begangen:• das Unternehmen ist nach britischem Recht gegründet worden bzw. ist dort ansässig,• das Unternehmen übt einen Teil seiner Geschäftsaktivitäten im Vereinigten Königreichaus, oder• die assoziierte Person ist zum Zeitpunkt der Begehung der Straftat im Vereinigten Königreich ansässig.
Übersicht des UK- und Foreign Offence
UK-Offence Foreign Offence
1a* Hinterziehung von britischen Steuern eines steuerpflichtigen Individuums/Finanzinstituts
1b** Steuerhinterziehung eines steuerpflichtigen Individuums/Finanzinstituts nach der auslän-dischen Rechtssprechung, die ebenfalls im UK strafverfolgt werden würde (Dual Criminality).
2 Beihilfe des Vergehens durch eine assoziierte Person (eine im Auftrag des Finanzinstituts handelnde Person hilft, unterstützt, berät bei der oder vermittelt die Steuerhinterziehung des Steuerpflichtigen)
3 Das Finanzinstitut besitzt keine angemessenen Verfahren, um die assoziierte Person von der Beihilfe der Steuerhinterziehung (s. Phase 2) abzuhalten.
Ausgabe 3 // September 2018
Mehr als die Hälfte der 70 größten Finanzdienstleister in Deutschland sind von den Regelungen des UK CCO be-troffen. Im Folgenden werden daher die Anforderungen und Herausforderungen für Finanzinstitute im Rahmen der Umsetzung näher erläutert.
Regulatorischer Hintergrund
Mit Einführung der 4. EU-Geldwäscherichtlinie im Juni 2017 wurde Steuerhinterziehung bereits auf EU-Ebene als Vortat zur Geldwäsche eingestuft. Dennoch gestaltete sich die strafrechtliche Verfolgung von Steuerhinterziehung im Vereinigten Königreich in der Vergangenheit schwierig. Finanzinstitute konnten nur unter bestimmten Voraussetzungen für die Steuerhin-terziehung ihrer Kunden belangt werden. Die Rege-lungen des UK CCO definieren nun die behördlichen Durchgriffsrechte neu und ermöglichen es britischen Aufsichtsbehörden, Finanzinstitute aufgrund von Steu-erhinterziehung zu belangen.
Anwendungsbereich des UK CCO
Nach den Regelungen des UK CCO wird nicht nur die Beihilfe zur Hinterziehung britischer Steuern (sogenann-ter UK-Offence), sondern auch die Beihilfe zur Hinterzie-hung ausländischer Steuern (sogenannter Foreign Of-fence) sanktioniert.
Der UK-Offence bezieht sich auf die Steuerhinterziehung britischer Steuern, unabhängig vom Ort der Begehung
der Straftat oder der Frage, welchem Recht das betref-fende Finanzinstitut unterliegt. Demnach kann auch bei deutschen Finanzinstituten mit UK-steuerpflichtigen Kunden ein UK-Offence auftreten.
Ebenso ist es irrelevant, von wo aus eine assoziierte Person des Finanzinstituts die Hinterziehung britischer Steuern ermöglicht oder gefördert hat. So kann bei-spielsweise ein eigener Mitarbeiter oder ein im Auftrag des Finanzinstituts handelnder Dritter von Deutsch-
land aus Beihilfe zur Hinterziehung von UK-Steuern leisten.
Hieraus ergeben sich die folgenden Voraussetzungen zum Vorliegen des UK CCO:
Der Foreign Offence liegt vor, sofern ausländische Steuern hinterzogen werden und ein UK-Bezug (so-genannter UK-Nexus) besteht. Dieser UK-Nexus sieht vor, dass das Finanzinstitut nach britischem Recht
21 // Compliance internationalAusgabe 3 // September 2018
gegründet wurde oder dort ansässig ist, einen Teil sei-ner Geschäftsaktivitäten im UK ausführt oder eine as-soziierte Person (also Mitarbeiter oder im Auftrag des Finanzinstituts handelnde Dritte) sich zum Zeitpunkt der Begehung der Straftat im Vereinigten Königreich befindet.
Voraussetzung zum Vorliegen des Foreign Offence ist die sogenannte doppelte Strafbarkeit (Dual Criminali-ty). Hierbei muss die zugrundeliegende Steuerhinterzie-hung sowohl im Vereinigten Königreich als auch im je-weiligen ausländischen Staat (also etwa in Deutschland) eine Straftat darstellen.
Auswirkungen auf deutsche Finanzinstitute
Da der UK CCO bereits am 30.09.2017 in Kraft getreten ist, sollten deutsche Finanzinstitute mit UK-steuerpflich-tigen Kunden oder UK-Bezug (also Niederlassungen und Repräsentanzen im UK oder in ihrem Auftrag handelnde Dritte im UK) die Anforderungen des UK CCO zeitnah und gruppenweit umsetzen. Dabei sollten sie Sorge da-für tragen, dass jegliche Möglichkeiten der Beihilfe zur Steuerhinterziehung unterbunden werden. Dies gilt für das Finanzinstitut selbst, aber auch für dessen Nieder-lassungen und Repräsentanzen. Denn deren Nichtkon-formität kann zur strafrechtlichen Verfolgung des Insti-tuts selbst führen.
Die doppelte Strafbarkeit bei grenzüberschreitenden Vergehen kann hierbei sogar zu einer Strafverfolgung im UK und im jeweiligen Land führen. Ein gruppenweit ein-
heitliches Vorgehen im Hinblick auf die Einhaltung und Umsetzung der Anforderungen ist daher unerlässlich.
Sanktionen
Die Konsequenzen bei Nichteinhaltung der Regelungen des UK CCO sind schwerwiegend. Sofern nachweislich die Schuld eines Finanzinstituts bei der Beihilfe zur Steu-erhinterziehung festgestellt wird, kann es zu folgenden Strafmaßnahmen kommen:
• Verlust der Banklizenz – Entzug der Erlaubnis zum Betreiben des Bankgeschäfts
• Massive Reputationsschäden – negative Darstellung in der Öffentlichkeit und möglicher Verlust von Kundenaufträgen
• Einziehung von Gesellschaftsvermögen – Beschlag-nahme von Einlagen sowie geldwerter Rechte und Gegenstände
• Unbegrenzte Geldstrafen – Bußgelder in unbestimm-ter und unbegrenzter Höhe
Strafrechtliche Verurteilung – Strafrechtliche Verfolgung der haftenden Personen eines Finanzinstituts
Die Strafverfolgung innerhalb des UK wird durch diverse In-stitutionen wie den Crown Prosecution Service (CPS) oder
das Serious Fraud Office (SFO) durchgeführt. Doch auch eine Strafverfolgung im Ausland ist möglich. Entsprechend dem EU-Amtshilfeverfahren werden bei ausländischen Ver-gehen je nach Bedarf und gemäß der geltenden ausländi-schen Rechtsprechung undd en geltenden Gesetzen zusätz-lich weitere ausländische Behörden zur Hilfe herangezogen.
Exkulpationsmöglichkeit
Schutz vor den Sanktionen können Finanzinstitute durch den Nachweis eines wirksam ausgestalteten Compli-ancemanagementsystems (CMS) erzielen. Hierbei ist es wesentlich, dass das Compliancemanagementsystem über die vorgeschlagenen angemessenen Maßnahmen (sogenannte Reasonable Procedures) zur Vermeidung der Beihilfe zur Steuerhinterziehung durch mit dem Fi-nanzinstitut assoziierte Personen verfügt.
Den Finanzinstituten wird empfohlen, eine kritische Durchsicht und etwaige Anpassungen hinsichtlich ihrer Prozesse, Kontrollen und Governance-Strukturen durch-zuführen, um das Risiko zu minimieren, entsprechend der Straftatbestände verurteilt zu werden.
Die britische Steuerbehörde Her Majesty’s Revenue and Customs (HMRC) hat eine Leitlinie veröffentlicht, die die Anforderungen an ein CMS in Bezug auf den UK CCO erläutert. Die genannten sechs Leitprinzipien werden im folgenden Schaubild erläutert und stellen aus Sicht der HMRC angemessene Präventionsmaßnahmen dar, mittels derer Finanzinstitute Beihilfe zur Steuerhinter-ziehung unterbinden können.
22 // Compliance internationalAusgabe 3 // September 2018
Timo Purkott
Partner, Head of Financial Services Compliance, KPMG AG Wirtschaftsprüfungsgesellschaft, Frankfurt am Main
[email protected] www.kpmg.de
Victoria Wildhirt
Senior Manager Financial Services Compliance, KPMG AG Wirtschaftsprüfungsgesellschaft, Frankfurt am Main
Auf den Punkt gebracht
Was Sie als betroffenes Finanzinstitut jetzt umsetzen sollten:
• Identifizieren Sie die internen Verantwortlichen mit der fachlichen Zuständigkeit für das Thema.
• Führen Sie frühzeitig eine Betroffenheitsanalyse durch, um die erforderlichen Anpassungsbedarfe in Prozessen und der IT festzustellen.
• Überprüfen Sie Ihre vertraglichen Beziehungen, und identifizieren Sie die „assoziierten Personen“, bei de-nen ein erhebliches Risiko zur Steuerhinterziehung be-stehen könnte.
• Setzen Sie ein geeignetes Schulungsprogramm für Mit-arbeiter auf. Stellen Sie dementsprechend sicher, dass ein funktionierendes Whistleblowingsystem für Ver-dachtsfälle der Steuerhinterziehung besteht, um unan-gemessenes Verhalten zu melden.
Die Folgen der anhaltenden Brexit-Verhandlungen sind nicht abzusehen. Die Anforderungen des UK CCO wer-den jedoch unabhängig von deren Ausgang bestehen bleiben und die nächste Stufe neben FATCA und CRS im globalen Kampf gegen grenzüberschreitende Steuer-hinterziehung darstellen. Unabhängig hiervon laufen bereits in anderen europäischen Ländern Gesetzge-bungsverfahren zur Etablierung nationaler Vorgaben entsprechend der britischen Regelung als Vorlage.
• Setzen Sie einen „Tone from the Top“-Ansatz mit Ein-bindung der Geschäftsführung auf, und kommunizie-ren Sie diesen im Unternehmen und in der gesamten Gruppe.
• Führen Sie gezielte Risk-Assessments zum UK CCO durch, und fokussieren Sie dabei auf Geschäftsbereiche, in denen ein höheres Risiko vermutet oder festgestellt wird.
Analyse der Risiken nach Art und Umfang in Bezug auf den UK CCO
Die Geschäftsführung des Finanzinstituts sollte eine Unternehmenskultur
etablieren, in der Beihilfehandlungen zur Steuerhinterziehung zu keinem
Zeitpunkt geduldet werden
Durchführung von Due-Diligence-Prüfungen, insbesondere im Rahmen
der Know-your-Employee(KYE)- und Know-your-Businesspartner(KYB)-Pro-
zesse in einem angemessenen und risikoorientierten Umfang
Implementierung angemessener Verfahren zur Bekämpfung von Beihilfe zur Steuerhin-
terziehung durch assoziierte Personen
Nutzung externer und interner Kommunikationskanäle sowie Schulung zum Wissensaufbau
Fortlaufende Überwachnung, regelmäßige Überprüfung und je nach Bearf Optimierung der definier-ten Sicherungsmaßnahmen
Risikoanalyse Top-Level- Commitment
Due Diligence
Verhältnis- mäßigkeit risiko-
basierter Sicherungs-maßnahmen
Kommunikation und Training
Überwachung und Überprüfung
"Reasonable Procedures"
Angemessene Präventionsmaßnahmen
23 // Fachbeirat
Weitere Fachbeiräte auf der Folgeseite
Carsten BeisheimWüstenrot & Württembergische AG, Leiter Recht und Compliance, Stuttgart
Flavio Bertoli, LL.M. (College of Europe, Bruges/Belgium LEDVANCE GmbH, Head of Compliance Legal, Garching
Dr. Stephan BühlerSGL Carbon SE, Chief Compliance Officer, Wiesbaden
Markus DreissigackerJacobs Douwe Egberts, Global Chief Compliance Officer, Director Legal Europe, Bremen
Andreas GehrkeABN AMRO Bank N.V., Country Compliance Head, Frankfurt am Main
Dr. Cornelia GodzierzLinde AG, Head of Compliance, München
Dr. Achim Gronemeyer, LL.M. (Norwich)Schaeffler AG, Rechtsanwalt, Legal Counsel Antitrust & Competition, Herzogenaurach
Dirk HenseBarclays Corporate and Investment Banking, Head of Compliance Northern Europe, Frankfurt am Main
Berndt HessRechtsanwalt, Frankfurt am Main
Hanno HinzmannSAP SE, Chief Compliance Officer EMEA & MEE, Legal Compliance & Integrity Office, Syndikusanwalt, Leiter Ausschuss Internatio- nales, DICO, Walldorf
Bernd HoffmannAllianz Deutschland AG, Recht und Compliance (D-RuC) Chief Compliance Officer, Unterföhring
Dr. Rico BaumannHead of Compliance/Compliance Officer, MAN Diesel & Turbo SE, Augsburg
Dr. Gerd O. Hagena, LL.M., MBAJohnson Controls, Rechtsanwalt/Senior Regional Compliance Counsel EMEA, Ratingen
David Ghahreman, M.A.AOK Hessen, Stabsbereich Recht – Compliance Management, Bad Homburg v.d.H.
Dr. Steffen JustNestlé AG, Chief Compliance Officer, Frankfurt am Main
Ausgabe 3 // September 2018
24 // 24 // Fachbeirat
Dr. Petra SchackBiotest AG, Compliance Officer, Syndikusrechtsanwältin, Dreieich
Ulrich RothfuchsDEKRA SE, General Counsel & Chief Compliance Officer, Stuttgart
Christopher RotherHausfeld Rechtsanwälte LLP, Rechtsanwalt/Partner, Berlin
Melanie Poepping, MBAFresenius Medical Care AG & Co. KGaA, Head of Global Investigation, Bad Homburg vor der Höhe
Dr. Thilo ReimersDeutsche Bahn AG, Leiter Kartellrecht – Compliance und Schadensprävention, Berlin
Hartmut T. RenzLandesbank Baden- Württemberg, Chief Compliance Officer, Stuttgart
Stephan RheinwaldCompliance Officer Services GmbH, Geschäftsführender Gesellschafter, Bonn
Stephan NiermannCommerzbank AG, Group Compliance, Global Markets Compliance, Frankfurt am Main
Dr. Martin MozekSamsung Electronics GmbH, Rechtsanwalt, Compliance Officer Legal & Compliance, Schwalbach/Ts.
Georg Kordges, LL.M.ARAG SE, Leiter Recht und Compliance, Düsseldorf
Bianca Löckeneuromicron AG, Compliance Beauftragte, Frankfurt am Main
Weitere Fachbeiräte auf der Folgeseite [email protected]
Dr. Martin SchmidtComfield Unternehmens-beratung GmbH & Co. KG, Geschäftsführender Gesellschafter, Berlin
Dr. Anita SchiefferSiemens AG, Head of Compliance Regulatory, Policies and Legal Advice, München
Dr. Felix KaestnerUBS Deutschland AG, Head Compliance Germany, Frankfurt am Main
Markus Jüttner E.ON SE, Vice President Group Compliance, Düsseldorf
Ausgabe 3 // September 2018
25 // Fachbeirat
Dr. Adriane WinterBSH Hausgeräte GmbH, Rechtsanwältin, Corporate/ Legal/Compliance, Head of Compliance Awareness, München
Heiko WendelFuchs Petrolub SE, General Counsel, P Legal & Insurance/ Chief Compliance Officer, Mannheim
Dietmar WillAudi AG, Leiter Compliance, Integrität, Ingolstadt
Wolfgang VahldiekVerband der Auslandsban-ken in Deutschland e.V., Direktor Recht, Frankfurt am Main
Dr. Claudia Tapia, LL.M.Ericsson, Director IPR Policy, RIPL IPR Policy & Communications, Herzogenrath
Dr. Mirjam WeisseMerz Pharma GmbH & Co. KGaA, Head of Compliance EMEA, Rechtsanwältin, Frankfurt am Main
Tom WoodsonS. Oliver, Chief Compliance Officer, Würzburg
Dr. Oliver SuchyG+D Mobile Security GmbH, Chief Compliance Officer, München
Clemens von StockertFraport AG, Leiter Compliance und Wertemanagement, Frankfurt am Main
Jörg SteinhausMerck KGaA, Konzerndatenschutzbeauf-tragter, Group Data Privacy Officer, Group Legal & Compliance, LE-CD Data Privacy, Darmstadt
Tanja SommerFlughafen Stuttgart GmbH, Leiterin Compliance und Organisation, Stuttgart
Ausgabe 3 // September 2018
26 // Ansprechpartner
Gabriel AndrasDeloitte & Touche GmbH Wirtschaftsprüfungsgesell-schaft
Schwannstraße 6 40476 Düsseldorf Telefon: (02 11) 87 72-21 06
Prof. Dr. Daniela Seeliger, LL.MLinklaters LLP
Königsallee 49–51 40212 Düsseldorf Telefon: (02 11) 229 77-0
Andreas PrycekErnst & Young GmbH Wirtschaftsprüfungsgesell-schaft
Graf-Adolf-Platz 15 40213 Düsseldorf Telefon: (02 21) 93 52 26-881
In Kooperation mit:
Alexander GeschonneckKPMG AG Wirtschafts-prüfungsgesellschaft
Klingelhöfer Straße 18 10785 Berlin Telefon: (030) 20 68-15 20
Dr. Rainer MarkfortDICO – Deutsches Institut für Compliance e.V.
Chausseestraße 13 10115 Berlin Telefon: (030) 27 58 20 20
Prof. Dr. Michael NietschEBS Law School/Center for Corporate Compliance
Gustav-Stresemann-Ring 3 65189 Wiesbaden Telefon: (06 11) 71 02-22 35
Prof. Dr. Leo StaubUniversität St. Gallen, Executive School of Management, Technology and Law (ES-HSG)
Holzstraße 15 CH-9010 St. Gallen Telefon: +41 (71) 224-21 11
Dr. André-M. Szesny, LL.M.Heuking Kühn Lüer Wojtek
Georg-Glock-Straße 4 40474 Düsseldorf Telefon: (02 11) 600 55-217
Christian ParsowEbner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsan-wälte Partnerschaft mbB
Holzmarkt 1 50676 Köln Telefon: (02 21) 206 43-494
Timo Purkott KPMG AG Wirtschafts-prüfungsgesellschaft
THE SQUAIRE Am Flughafen 60549 Frankfurt/Main Telefon: (069) 95 87-15 33
Ausgabe 3 // September 2018
ImpressumHerausgeber: Prof. Dr. Thomas Wegerich
Redaktion: Thomas Wegerich (tw)
Verlag: FRANKFURT BUSINESS MEDIA GmbH – Der F.A.Z.-Fachverlag Geschäftsführer: Dominik Heyer, Hannes Ludwig Frankenallee 68–72, 60327 Frankfurt am Main Sitz: Frankfurt am Main, HRB Nr. 53454, Amtsgericht Frankfurt am Main
German Law Publishers Verleger: Prof. Dr. Thomas Wegerich Stalburgstraße 8, 60318 Frankfurt am Main Telefon: (069) 95 64 95 59 E-Mail: [email protected] Internet: www.compliancebusiness-magazine.com
Jahresabonnement: Bezug kostenlos, Erscheinungsweise: quartalsweise
Projektmanagement und Anzeigen: Karin Gangl Telefon: (069) 75 91-22 17 / Telefax: (069) 75 91-80 22 17
Publikationsmanagement Ayfer Ekingen
Layout: Ina Wolff
Partner: Deloitte & Touche GmbH; Ebner Stolz Mönning Bachem mbH, Ernst & Young GmbH; Heuking Kühn Lüer Wojtek; KPMG AG; Linklaters LLP
Kooperationspartner: ACC Europe, Deutsches Institut für Compliance e.V. (DICO), EBS Law School/Center for Corporate Compliance; Universität St. Gallen, Executive School of Management, Technology and Law (ES-HSG)
Haftungsausschluss: Alle Angaben wurden sorgfältig recherchiert und zusam-mengestellt. Für die Richtigkeit und Vollständigkeit des Inhalts von ComplianceBusiness übernehmen Verlag und Redaktion keine Gewähr.
„Partner“ und „Kooperationspartner“Die Partner von ComplianceBusiness sind führende Anwaltssozietäten und Wirtschaftsprüfungsgesellschaften; die Kooperationspartner von ComplianceBusiness sind anerkannte wissenschaftliche Organisationen oder Unternehmen mit inhaltlichen Bezügen zum Rechtsmarkt. Alle Partner und Kooperationspartner respektieren ohne Einschränkung die Unabhängigkeit der Redaktion, die sie fachlich und mit ihren Netzwerken unterstützen. Sie tragen damit zum Erfolg des Magazins ComplianceBusiness bei.
Partner:
Herausgeber:
In Kooperation mit:
27 // Partner, Kooperationspartner und ImpressumAusgabe 3 // September 2018