| |
Cover |
1 |
|
| |
Titel |
3 |
|
| |
Impressum |
4 |
|
| |
Vorwort |
5 |
|
| |
Autorenverzeichnis |
6 |
|
| |
Inhalt |
14 |
|
| |
Abkürzungsverzeichnis |
42 |
|
| |
Teil 1:Kernelemente und Handlungsstrategien |
59 |
|
| |
1. Kapitel: Compliance-Management –Grundlagen, Zusammenhänge und Strategien |
59 |
|
| |
I. Grundlagen und Zusammenhänge |
59 |
|
| |
1. Compliance-Management als Führungs- undOrganisationsaufgabe |
59 |
|
| |
a) Verbindung von Compliance und Integritätsmanagement |
60 |
|
| |
b) Zunahme von Rechts- und Compliance-Risiken |
63 |
|
| |
c) Corporate Governance und CSR als dynamische Bezugsrahmen |
65 |
|
| |
d) Relevanz für alle Unternehmen |
67 |
|
| |
e) Nachteile von Regelverletzungen („Non-Compliance“) |
68 |
|
| |
f) Besondere Merkmale von Compliance-Risiken |
69 |
|
| |
g) Parallelen und Unterschiede zum allgemeinen Risikomanagement |
70 |
|
| |
h) Compliance-Pflicht als verbandsübergreifendes Prinzip |
72 |
|
| |
i) Grundfragen verantwortungsvoller Unternehmensführung |
73 |
|
| |
2. Ziele und Vorteile von Compliance-Management |
75 |
|
| |
a) Prävention, Aufdeckung und Sanktionierung von Regelverletzungen |
75 |
|
| |
b) Förderung von Regeltreue und Integrität („Compliance-Kultur“) |
75 |
|
| |
c) Schutz von Unternehmen, Geschäftsleitern und Mitarbeitern |
76 |
|
| |
d) Sicherung der Reputation des Unternehmens |
76 |
|
| |
e) Wahrung rechtlicher Gestaltungsmöglichkeiten |
77 |
|
| |
f) Vorteile im Marketing und Imagegewinn bei Bezugsgruppen |
78 |
|
| |
g) Verteidigungsmöglichkeit im Fall von „Non-Compliance“ |
79 |
|
| |
h) Verbesserung von Strukturen und Prozessen |
79 |
|
| |
II. Vorgaben und Orientierungshilfen |
80 |
|
| |
1. Branchenspezifische Sonderregeln als Erkenntnisquelle |
81 |
|
| |
2. Compliance-Pflicht als Ausprägung der Leitungsverantwortung |
82 |
|
| |
3. Notwendigkeit eines Compliance-Risikomanagements |
83 |
|
| |
4. Anforderungen an Aufsichts- und Überwachungsmaßnahmen |
84 |
|
| |
5. Vorgaben der Unternehmensorganisationspflichten undGarantenpflichten |
85 |
|
| |
6. Einfluss von Vorschriften anderer Rechtsordnungen |
86 |
|
| |
7. Bedeutung von Compliance-Standards (Beispiel IDW PS 980) |
87 |
|
| |
III. Kernelemente und Erfolgskriterien |
88 |
|
| |
1. Handlungsspielraum bei der Ausgestaltung desCompliance-Managements |
88 |
|
| |
2. Konzeption einer Compliance-Strategie |
89 |
|
| |
a) Wahl eines unternehmensspezifischen Organisationsmodells |
90 |
|
| |
b) Verankerung einer Integritäts- und Compliance-Kultur |
91 |
|
| |
aa) Authentisches Bekenntnis zu Regeltreue und Integrität durch dieGeschäftsleitung |
92 |
|
| |
bb) Aufnahme von Compliance in das Unternehmensleitbild („MissionStatement“) |
93 |
|
| |
cc) Formulierung und Kommunikation von Leitwerten („Code ofConduct“) |
93 |
|
| |
dd) Effektive Vermittlung von Compliance und Integrität alsPersonalführungsaufgabe |
94 |
|
| |
c) Entwicklung einer Compliance-Risikostrategie |
95 |
|
| |
aa) Systematische Identifikation von Compliance-Risiken |
96 |
|
| |
bb) Analyse und Bewertung |
97 |
|
| |
cc) Entwicklung von Risikosteuerungsmaßnahmen |
97 |
|
| |
dd) Berichterstattung zu Compliance-Risiken |
98 |
|
| |
ee) Regelmäßige Compliance-Audits |
98 |
|
| |
d) Klärung von Zuständigkeiten und Delegationsmöglichkeiten |
99 |
|
| |
e) Schlüsselrolle der Compliance Officer |
100 |
|
| |
f) Integration von Compliance in die Geschäftsprozesse |
101 |
|
| |
g) Koordination weiterer Unternehmensfunktionen |
102 |
|
| |
h) Initiierung bedarfsgerechter Schulungen und Fortbildungsangebote |
103 |
|
| |
i) Einrichtung von Kontrollen und Feedback-Prozessen |
103 |
|
| |
j) Aufklärung von Verstößen |
104 |
|
| |
k) Konsequente Sanktionierung von regelwidrigem und unethischemVerhalten |
104 |
|
| |
l) Sicherstellung regelmäßiger Aktualisierung |
105 |
|
| |
IV. Leitlinien und Empfehlungen |
105 |
|
| |
2. Kapitel:Einführung eines „Code of Conduct“ |
108 |
|
| |
I. Einleitung |
108 |
|
| |
II. Ausgestaltung |
109 |
|
| |
1. Erscheinungsformen |
109 |
|
| |
2. Typische Regelungen |
112 |
|
| |
III. Einführung eines „Code of Conduct“ |
114 |
|
| |
1. Individualvertragliche Umsetzung |
115 |
|
| |
a) Weisungsrecht des Arbeitgebers |
115 |
|
| |
b) Vertragliche Vereinbarung |
117 |
|
| |
c) Änderungskündigung |
119 |
|
| |
2. Betriebsvereinbarung |
119 |
|
| |
IV. Mitbestimmungsrecht des Betriebsrats |
122 |
|
| |
3. Kapitel: Whistleblowing-Systeme –Aufbau und Management |
126 |
|
| |
I. Einleitung |
126 |
|
| |
1. Begriffsbestimmung |
127 |
|
| |
2. Gründe für die Einführung eines Whistleblowing-Systems |
128 |
|
| |
3. Rechtliche Rahmenbedingungen |
129 |
|
| |
a) Internationale Anforderungen |
129 |
|
| |
aa) Sarbanes Oxley Act (SOX) |
129 |
|
| |
bb) Dodd-Frank Act |
130 |
|
| |
cc) UK Bribery Act (UKBA) |
131 |
|
| |
dd) OECD-Übereinkommen vom 17.12.1997 |
131 |
|
| |
b) Rechtslage in Deutschland |
132 |
|
| |
aa) Gesellschaftsrechtliche Vorgaben |
132 |
|
| |
bb) Ordnungswidrigkeitenrechtliche Vorgaben |
132 |
|
| |
cc) Vorgaben des Deutschen Corporate Governance Kodex |
133 |
|
| |
dd) Vorgaben aus der Rechtsprechung |
133 |
|
| |
II. Überblick über die mögliche Ausgestaltung vonHinweismanagementsystemen |
134 |
|
| |
1. Externes Whistleblowing |
134 |
|
| |
2. Internes Whistleblowing |
134 |
|
| |
3. Mögliche Begrenzungen (Hinweisgeber, Empfänger, Themen) |
135 |
|
| |
III. Aufbau/Einführung eines Hinweismanagementsystems |
135 |
|
| |
1. Rechtliche Anforderungen |
135 |
|
| |
a) Rechtslage in Deutschland |
135 |
|
| |
b) Vorgaben auf europäischer Ebene |
136 |
|
| |
c) Regelungen in den USA und Großbritannien |
138 |
|
| |
aa) USA |
138 |
|
| |
bb) Großbritannien |
138 |
|
| |
2. Datenschutzrechtliche Anforderungen |
138 |
|
| |
a) Anforderungen des Bundesdatenschutzgesetzes |
139 |
|
| |
b) Empfehlungen der Ad-hoc-Arbeitsgruppe „Beschäftigtendatenschutz“des Düsseldorfer Kreises |
139 |
|
| |
3. Entscheidungen hinsichtlich der konkreten Ausgestaltung |
140 |
|
| |
a) Organisation |
140 |
|
| |
b) Ausgestaltungsmöglichkeiten |
141 |
|
| |
aa) Kreis der Hinweisgeber |
141 |
|
| |
bb) Eingangskanäle |
142 |
|
| |
cc) Arten der meldbaren Verstöße |
144 |
|
| |
dd) Regelungen zur Einführung eines Hinweismanagementsystems |
144 |
|
| |
4. Kommunikation |
145 |
|
| |
IV. Die praktische Arbeit mit einem Whistleblowing-System |
146 |
|
| |
1. Schutz des Hinweisgebrs vor Nachteilen |
146 |
|
| |
2. Schutz des Betroffenen |
147 |
|
| |
3. Datenschutzkonformer Umgang mit eingegangenenHinweisen |
147 |
|
| |
V. Fazit |
148 |
|
| |
4. Kapitel:Kommunikationsmanagementund Schulungen |
149 |
|
| |
I. Einleitung |
149 |
|
| |
II. Grundzüge zur Kommunikation in derUnternehmenspraxis |
150 |
|
| |
1. Relevanz der Kommunikation im Unternehmen und beiCompliance |
150 |
|
| |
2. Kommunikationsmodelle |
152 |
|
| |
a) Modell zu Konfliktarten als Grundlage für die Kommunikation |
152 |
|
| |
b) Praxisrelevantes Beispiel |
155 |
|
| |
III. Ausgewählte Instrumente der Compliance-Kommunikation |
158 |
|
| |
1. Tone-From-The-Top |
158 |
|
| |
2. Persönlicher Kontakt mit dem Compliance Officer |
158 |
|
| |
3. Zusammenarbeit des Compliance Officers mitSchlüsselfunktionen im Unternehmen |
159 |
|
| |
4. Schriftliche Informationen an die Mitarbeiter |
159 |
|
| |
5. Compliance im firmeneigenen Intranet |
160 |
|
| |
IV. Schulungen |
161 |
|
| |
1. Persönliche Schulungen durch die Compliance-Funktion |
161 |
|
| |
2. Schulungen mit klassischem E-Learning |
162 |
|
| |
3. Schulungen mit Webinaren |
163 |
|
| |
4. Unterstützung dezentraler Compliance-Funktionen: dasSchulungshandbuch |
175 |
|
| |
V. Die „Top 5 Stolpersteine“ in der Compliance-Kommunikation und Lösungsvorschläge |
177 |
|
| |
1. Fehlende, verspätete oder missverständliche Information |
177 |
|
| |
a) Problemstellung |
177 |
|
| |
b) Lösungsvorschlag |
178 |
|
| |
2. Mangelnde Authentizität („Nicht gelebte Hochglanzaussagen“) |
179 |
|
| |
a) Problemstellung |
179 |
|
| |
b) Lösungsvorschlag |
179 |
|
| |
3. Fehler im Kommunikationsmanagement: Budget- undRessourcenmangel |
180 |
|
| |
a) Problemstellung |
180 |
|
| |
aa) Unzureichende Übersetzung eines Code of Conduct (CoC) |
181 |
|
| |
bb) Unzureichendes Schulungsbudget |
182 |
|
| |
b) Lösungsvorschlag |
183 |
|
| |
4. Probleme mit der Technik |
184 |
|
| |
a) Problemstellung |
184 |
|
| |
b) Lösungsvorschlag |
184 |
|
| |
5. Fehler im Kommunikationsmanagement von Complianceaufgrund von Kulturunterschieden |
186 |
|
| |
a) Problemstellung |
186 |
|
| |
b) Lösungsvorschlag |
187 |
|
| |
VI. Fazit zur Compliance-Kommunikation |
188 |
|
| |
5. Kapitel: Integration des Compliance-Managementsin den betrieblichen Steuerungsprozess – Beispiel Immobilienmanagement |
191 |
|
| |
I. Einleitung |
191 |
|
| |
II. Compliance-Management in der Prozess-Perspektive(„Prozessmodell Compliance“) |
192 |
|
| |
1. Der Prozess für Aufbau und Implementierung eines CMS |
193 |
|
| |
2. Besondere Compliance-Prozesse |
195 |
|
| |
3. Compliance in Fachprozessen – Verankerung in branchenspezifischenAbläufen |
196 |
|
| |
4. Der Steuerungsprozess Compliance |
198 |
|
| |
5. Die Integration der Prozesse |
199 |
|
| |
a) Prozesslandkarte Compliance |
199 |
|
| |
b) Das Prozessmodell Compliance – verdichtet |
199 |
|
| |
c) Die Zusammenführung des CMS-Prozesses mit dem Prozessmodelldes Unternehmens |
200 |
|
| |
III. Die Integration von Compliance am Beispiel einesGeschäftsmodelles „Immobilienmanagement“ |
201 |
|
| |
IV. Steigerung der Compliance-Reife des Unternehmensdurch messbare Zielvereinbarungen |
203 |
|
| |
1. Verankerung von risiko-zentrierten Compliance-Kontrollenin Arbeitsabläufen |
203 |
|
| |
2. Messen der ordnungsgemäßen Anwendung der implementiertenCompliance-Absicherungen |
207 |
|
| |
3. Festlegen messbarer Compliance-Ziele als Maßstab für dieCompliance-Reife des Unternehmens |
208 |
|
| |
6. Kapitel. Auswirkungen des ISO-Standards 19600auf die Prüfung von Compliance-Management-Systemen nach IDW PS 980 |
212 |
|
| |
I. Einleitung |
212 |
|
| |
II. Zielsetzung und Zielgruppe |
213 |
|
| |
1. Ausgangslage |
213 |
|
| |
2. Zielsetzung des IDW PS 980 |
213 |
|
| |
3. Zielsetzung des ISO 19600:2014 |
214 |
|
| |
4. Vergleich |
214 |
|
| |
III. Unterschiedliche Regelungstiefe zur Ausgestaltungdes CMS |
214 |
|
| |
1. CMS-bezogene Regelungsinhalte des IDW PS 980 |
214 |
|
| |
2. Regelungsinhalte des ISO 19600:2014 |
215 |
|
| |
IV. ISO 19600 als geeignetes, angemessenes Rahmen-konzept für ein CMS |
218 |
|
| |
1. Anforderungen des IDW PS 980 an ein Rahmenkonzept |
218 |
|
| |
2. Vergleich ISO 19600 Guidelines mit IDW PS980-Grundelementen |
220 |
|
| |
V. Zwischenergebnis |
222 |
|
| |
VI. Argumente für eine Ausrichtung des CMS nachISO 19600 |
222 |
|
| |
1. Basis für Ermessensentscheidung und Compliance-Richtlinie |
222 |
|
| |
2. Beurteilung der angemessenen Einrichtung eines wirksamenCMS |
224 |
|
| |
VII. Zusammenfassung |
226 |
|
| |
Teil 2:Übergreifende Herausforderungen |
227 |
|
| |
7. Kapitel: Risikomanagement – Einführung undmethodischer Überblick |
227 |
|
| |
I. Einleitung |
227 |
|
| |
II. Grundzüge des unternehmerischen Risikomanagements |
228 |
|
| |
1. Das Risikomanagement als unternehmerisches Steuerungsinstrument |
228 |
|
| |
2. Ansätze zur Risikosystematisierung |
232 |
|
| |
a) Finanzwirtschaftliche Risiken |
232 |
|
| |
aa) Marktpreisrisiken |
232 |
|
| |
bb) Ausfallrisiken |
233 |
|
| |
cc) Liquiditätsrisiken |
233 |
|
| |
b) Leistungswirtschaftliche Risiken: Die Leistungserstellung einesUnternehmens unterliegt ebenfalls zahlreichen Risiken |
234 |
|
| |
aa) Operative Risiken |
234 |
|
| |
bb) Absatzrisiken |
235 |
|
| |
3. Der Risikomanagementprozess |
235 |
|
| |
a) „Bottom up-Verfahren“ |
237 |
|
| |
b) „Top down-Verfahren“ |
237 |
|
| |
III. Risikoidentifikation |
239 |
|
| |
1. Verfahren zur Erstellung eines Risikokatalogs |
239 |
|
| |
2. Prognose- und Früherkennungssysteme |
241 |
|
| |
IV. Risikoquantifizierung |
243 |
|
| |
1. Beispiel Bottom up-Verfahren |
244 |
|
| |
2. Top down-Verfahren |
246 |
|
| |
V. Herausforderungen des Risikomanagements |
248 |
|
| |
VI. Fazit Risikomanagement |
250 |
|
| |
8. Kapitel: Governance, Risk und Compliance-Management– Zusammenhänge und Abhängigkeiten |
251 |
|
| |
I. Einleitung – Die Notwendigkeit der Einrichtung vonInstrumenten zur Überwachung von Unternehmen |
251 |
|
| |
II. Das System der Unternehmensüberwachung |
254 |
|
| |
1. Überblick über das Gesamtsystem |
254 |
|
| |
2. Externe Komponenten der Unternehmensüberwachung |
254 |
|
| |
3. Interne Komponenten der Unternehmensüberwachung |
256 |
|
| |
III. Die Verknüpfung der einzelnen Elemente derUnternehmensüberwachung |
257 |
|
| |
1. Der GRC-Ansatz |
257 |
|
| |
2. Das interne Kontrollsystem und die anderen Elemente derÜberwachung des Unternehmens |
258 |
|
| |
3. Compliance- und Risikomanagement |
260 |
|
| |
4. Risikomanagement und Controlling |
260 |
|
| |
5. Interne Revision, Compliance und Risikomanagement |
261 |
|
| |
6. Fazit |
262 |
|
| |
IV. Grundkonzept für die Ausgestaltung eines integrierten Systems der Überwachung für mittelständisch geprägteUnternehmen |
262 |
|
| |
1. Bestimmung der Zielgruppe der Unternehmen |
262 |
|
| |
2. Zielstellung für die Einführung eines integrierten Systems derÜberwachung |
263 |
|
| |
3. Vorgehensweise |
263 |
|
| |
a) Risikoanalyse |
263 |
|
| |
b) Analyse bestehender Strukturen |
265 |
|
| |
c) Ermittlung des Anpassungsbedarfs |
265 |
|
| |
d) Umsetzung |
265 |
|
| |
4. Fazit |
267 |
|
| |
9. Kapitel: Risikomanagement und Compliance bei der Nutzung vonFinanz- und Kapitalmarktprodukten |
268 |
|
| |
I. Einleitung |
268 |
|
| |
II. Finanz- und Kapitalmarktprodukte |
269 |
|
| |
1. „Einfache“ Produkte |
269 |
|
| |
2. „Komplexe“ Produkte |
270 |
|
| |
a) Überblick |
270 |
|
| |
b) Risiken im Einzelnen |
273 |
|
| |
III. Rechtliche Anforderungen an das Risikomanagementund Compliance-System |
275 |
|
| |
1. Anforderungen an Finanzinstitute |
275 |
|
| |
a) Aufsichtsrechtliche Anforderungen |
275 |
|
| |
b) „Best Practice“ und praktische Ausgestaltung |
277 |
|
| |
aa) Risikomanagement |
277 |
|
| |
(1) Risikomanagementstrategie |
278 |
|
| |
(2) Risikotragfähigkeitskonzept |
278 |
|
| |
(3) Interne Kontrollverfahren |
279 |
|
| |
(4) Personelle und technische Ausstattung |
279 |
|
| |
(5) Notfallkonzept |
279 |
|
| |
(6) Nachhaltiges Vergütungssystem |
279 |
|
| |
bb) Compliance |
280 |
|
| |
(1) MaRisk BA-Compliance |
280 |
|
| |
(2) MaComp-Compliance |
281 |
|
| |
2. Anforderungen an Unternehmen |
282 |
|
| |
a) Normativer Rahmen und Übertragbarkeit |
282 |
|
| |
b) Grenzen |
284 |
|
| |
IV. Ausgestaltung des Risikomanagement- undCompliance-Systems im Unternehmensbereich |
284 |
|
| |
1. Finanzproduktbezogenes Risikomanagement undCompliance – Überblick |
284 |
|
| |
2. Die Ausgestaltung der wichtigsten ICRM-Komponenten imEinzelnen |
287 |
|
| |
a) Rechtliche Einzelfallprüfung: Covenant-Tool |
287 |
|
| |
b) Kreditrisiko-Tool |
288 |
|
| |
c) Marktrisiko-Tool |
289 |
|
| |
d) Liquiditätsrisiko-Tool |
290 |
|
| |
3. Delegation des Risikomanagements und Compliance |
291 |
|
| |
V. Haftungsfragen |
293 |
|
| |
1. Verstoß gegen die Pflicht zum Risikomanagement |
293 |
|
| |
2. Verstoß gegen die Pflicht zur Compliance |
294 |
|
| |
VI. Fazit |
295 |
|
| |
10. Kapitel: Die Compliance-Funktion in einemKreditinstitut |
296 |
|
| |
I. Einführung: Was ist Compliance? |
296 |
|
| |
II. Welche Compliance-Funktionen gibt es in einemKreditinstitut? |
297 |
|
| |
1. Kapitalmarkt-Compliance |
298 |
|
| |
2. Zentrale Stelle/sonstige strafbare Handlungen(inkl. Geldwäscheprävention) |
299 |
|
| |
3. MaRisk-Compliance |
302 |
|
| |
4. Hinweisgebersystem (Whistleblowing) |
304 |
|
| |
5. Datenschutz |
305 |
|
| |
III. Inhalt und Aufgabe einer modernen Compliance-Funktion |
307 |
|
| |
IV. Das Compliance-Management-System (CMS) |
308 |
|
| |
V. Schnittstellen zu anderen Funktionen |
311 |
|
| |
1. Fach- und Marktbereiche |
312 |
|
| |
2. Rechtsabteilung |
312 |
|
| |
3. Risikocontrolling-Funktion |
313 |
|
| |
4. Interne Revision |
314 |
|
| |
VI. Compliance als Teil des IKS eines Kreditinstituts |
315 |
|
| |
VII. Übertragung der Struktur/des Ansatzes auf andereIndustriesäulen – und umgekehrt |
320 |
|
| |
VIII. Fazit/Ausblick |
322 |
|
| |
11. Kapitel: Compliance als Schnittstellenaufgabe – Überlegungen und Anregungen zurerfolgreichen Zusammenarbeit mit anderen Unternehmensfunktionen |
324 |
|
| |
I. Einleitung |
324 |
|
| |
II. Unternehmensfunktionen und ihre Interaktion imSinne der Compliance |
325 |
|
| |
1. Geschäftsleitung |
326 |
|
| |
2. Aufsichtsrat |
330 |
|
| |
3. Rechtsabteilung |
332 |
|
| |
4. Personalabteilung |
335 |
|
| |
5. Betriebsrat |
337 |
|
| |
6. Finanzfunktion |
339 |
|
| |
7. Innenrevision |
340 |
|
| |
8. Wirtschaftsprüfer |
341 |
|
| |
9. Unternehmenskommunikation |
343 |
|
| |
10. Andere |
345 |
|
| |
III. Fazit |
346 |
|
| |
12. Kapitel: Compliance im Kontext nachhaltigenSupply Chain-Managements |
349 |
|
| |
I. Einleitung |
349 |
|
| |
II. Nachhaltiges Lieferantenmanagement |
350 |
|
| |
1. Lieferantenbewertung |
351 |
|
| |
2. Lieferantenentwicklung |
352 |
|
| |
3. Lieferantenauswahl |
352 |
|
| |
4. Lieferantenmonitoring |
353 |
|
| |
III. Unterschiede entlang der Supply Chain |
354 |
|
| |
IV. Konfliktmineralien und Due Diligence – „beyondcompliance“ |
356 |
|
| |
V. Praxisrelevanz |
358 |
|
| |
VI. Fazit |
360 |
|
| |
13. Kapitel:Management interner Untersuchungen |
361 |
|
| |
I. Einleitung |
361 |
|
| |
II. Entscheidung über die Durchführung internerUntersuchungen |
362 |
|
| |
1. Entscheidungsbefugte Stellen |
362 |
|
| |
2. Pflicht zur Aufklärung konkreter Verdachtsfälle |
363 |
|
| |
3. Interne Untersuchung oder externe Ermittlung? |
364 |
|
| |
a) Bereits laufendes behördliches Verfahren |
364 |
|
| |
b) (Noch) kein behördliches Verfahren |
365 |
|
| |
III. Vornahme von Eilmaßnahmen |
366 |
|
| |
1. Einrichtung einer zentralen Koordinierungsstelle |
366 |
|
| |
2. Maßnahmen der Daten- und Beweissicherung |
367 |
|
| |
3. Arbeitsrechtliche Maßnahmen |
367 |
|
| |
4. Beachtung von Informations- und Berichtspflichten |
368 |
|
| |
IV. Planung der internen Untersuchung |
369 |
|
| |
1. Grundlagen der Planung |
369 |
|
| |
a) Beachtung von Recht- und Verhältnismäßigkeit |
369 |
|
| |
b) Beachtung von Risiken und Folgen der internen Untersuchung |
370 |
|
| |
2. Festlegung des Untersuchungsgegenstands |
371 |
|
| |
3. Bestimmung des Untersuchungsteams und der Verantwortlichkeiten |
372 |
|
| |
a) Auswahl von Mitarbeitern und externen Beratern |
372 |
|
| |
b) Festlegung von Verantwortlichkeiten und Berichtswegen |
373 |
|
| |
4. Bestimmung und Vorbereitung der Informationsquellen |
374 |
|
| |
a) Relevante Informationsquellen |
374 |
|
| |
aa) Dokumente |
374 |
|
| |
bb) Elektronische Daten und E-Mails |
375 |
|
| |
cc) (Ehemalige) Mitarbeiter |
375 |
|
| |
b) Notwendige Abstimmung der geplanten Untersuchungsmaßnahmen |
376 |
|
| |
aa) Beteiligung von Betriebsrat oder Sprecherausschuss |
376 |
|
| |
bb) Abstimmung mit Ermittlungs- und Aufsichtsbehörden |
376 |
|
| |
c) Einrichtung eines Datenraums oder eines „Projektportals“ |
377 |
|
| |
5. Sicherung der Vertraulichkeit |
378 |
|
| |
a) Zugriffsmöglichkeiten Dritter |
378 |
|
| |
aa) Beschlagnahme durch Ermittlungsbehörden |
378 |
|
| |
bb) Herausgabe von Unterlagen an Versicherer |
379 |
|
| |
b) Begrenzung der E-Mail- und sonstigen schriftlichenKommunikation |
380 |
|
| |
c) Kennzeichnung und Aufbewahrung geschützter Kommunikation |
380 |
|
| |
6. Erstellen eines Untersuchungsplans |
381 |
|
| |
V. Durchführung der internen Untersuchung |
382 |
|
| |
1. Allgemeine Untersuchungsgrundsätze |
382 |
|
| |
2. Dokumentation der Untersuchung |
383 |
|
| |
3. Erhebung und Auswertung von Dokumenten |
383 |
|
| |
4. Erhebung und Auswertung von elektronischen Daten |
384 |
|
| |
5. Befragung von Mitarbeitern |
385 |
|
| |
6. Auswertung und Aufarbeitung der Untersuchungsergebnisse |
387 |
|
| |
VI. Fazit |
389 |
|
| |
14. Kapitel: CSR und Compliance – Die gesellschaftlicheVerantwortung von Unternehmen |
390 |
|
| |
I. Einleitung |
390 |
|
| |
II. Praktische Grundlagen |
391 |
|
| |
III. Theoretische Grundlagen |
394 |
|
| |
IV. Ein integratives Konzept von CSR |
400 |
|
| |
V. CSR und Compliance: Internationales Recht undSoft Law |
403 |
|
| |
VI. CSR und Compliance in der Strategieentwicklung |
406 |
|
| |
VII. Die Zukunft von CSR – „CSR 4.0“ |
408 |
|
| |
15. Kapitel: CSR-Compliance: Neue Herausforderungen im Reporting |
413 |
|
| |
I. Einleitung: Corporate Social Responsibility, CorporateGovernance und die (mögliche) Rolle von Compliance |
413 |
|
| |
II. Neu: Die „CSR-Compliance“ |
415 |
|
| |
1. Zielsetzungen der CSR-Richtlinie und des CSR-Richtlinie-Umsetzungsgesetzes |
416 |
|
| |
2. Neuausrichtung des Nachhaltigkeitsreportings |
417 |
|
| |
a) Bestehende Berichtspflichten im deutschen Bilanzrecht |
417 |
|
| |
b) Sog. „Soft Law-Ansätze“ |
419 |
|
| |
c) Paradigmenwechsel |
420 |
|
| |
3. Adressaten der neuen Berichtspflichten |
421 |
|
| |
a) Der Adressatenkreis im Rahmen der nicht-finanziellen Erklärungund der Berichtsvarianten |
421 |
|
| |
b) Die Verpflichteten der Vorgaben zum Diversitätskonzept |
424 |
|
| |
4. Berichtsanforderungen im Rahmen der nicht-finanziellenErklärung und des gesonderten Berichts |
425 |
|
| |
a) Inhalte, Relevanzmaßstab und Methodik der nicht-finanziellenErklärung |
425 |
|
| |
b) Muster: Struktur und Ansätze zur Gestaltung einer nicht-finanziellen Erklärung |
430 |
|
| |
c) Vorgehensalternativen: Der gesonderte nicht-finanzielle Bericht unddie Verwendung von Rahmenwerken |
434 |
|
| |
5. Ein Spezifikum: Das Diversitätskonzept |
436 |
|
| |
6. Nichtangaben, unrichtige Angaben und ihre Folgen |
436 |
|
| |
a) Der Grundsatz: „Comply or Explain“ |
437 |
|
| |
b) Ein Sonderfall: Das (vorübergehende) Weglassen nachteiligerAngaben |
438 |
|
| |
c) Prüfungen |
438 |
|
| |
d) Verstöße, Säumnisse und Sanktionen |
440 |
|
| |
III. Fazit und Ausblick |
441 |
|
| |
Teil 3:Besondere Anwendungsfelder |
442 |
|
| |
16. Kapitel:Compliance in M&A-Transaktionen |
442 |
|
| |
I. Einleitung |
442 |
|
| |
II. Prozessuale M&A-Compliance – Einhaltung vonRechtsvorschriften im M&A-Verfahren |
443 |
|
| |
1. Strukturierung der Transaktion |
443 |
|
| |
2. Offenlegung von Informationen |
444 |
|
| |
a) Offenlegungs- und Aufklärungspflichten des Veräußerers |
444 |
|
| |
b) Rechtliche Grenzen der Offenlegung von Informationen |
446 |
|
| |
aa) Gesellschaftsrechtliche Zulässigkeit der Offenlegung von Informationengegenüber Dritten |
446 |
|
| |
bb) Vertraulichkeitsbestimmungen in Verträgen mit Dritten |
448 |
|
| |
cc) Datenschutzrechtliche Anforderungen für die Offenlegung vonpersonenbezogenen Daten |
449 |
|
| |
3. Kartellrechtliche M&A-Compliance – Vollzugsverbot undInformationsaustausch |
450 |
|
| |
a) Anmeldepflicht und Vollzugsverbot |
450 |
|
| |
b) Informationsaustausch |
453 |
|
| |
4. Kapitalmarktrechtliche M&A-Compliance |
456 |
|
| |
a) Informationsweitergabe im Rahmen der Due Diligence |
456 |
|
| |
b) Ad-hoc-Pflicht |
456 |
|
| |
c) Übernahmerechtliche M&A-Compliance |
458 |
|
| |
5. Pflicht zur Durchführung einer rechtlichen Due Diligence |
458 |
|
| |
a) Regelfall |
458 |
|
| |
b) Besonders gelagerte Fälle |
459 |
|
| |
c) In besonders gelagerten Fällen Due Diligence nach Vollzugerforderlich |
462 |
|
| |
6. (Abbruch der) Vertragsverhandlungen |
462 |
|
| |
7. Zustimmungserfordernisse |
464 |
|
| |
a) Zustimmung von Aufsichtsgremien und/oder der Gesellschafter |
464 |
|
| |
b) Zustimmung von Ehegatten oder Lebenspartnern |
466 |
|
| |
8. Vereinbarung von Wettbewerbsverboten im Unternehmenskaufvertrag |
467 |
|
| |
III. Materielle M&A-Compliance – Prüfung von/Umgangmit Compliance in der Zielgesellschaft |
468 |
|
| |
1. Due Diligence |
468 |
|
| |
a) Erfordernis einer Compliance-Due Diligence |
468 |
|
| |
aa) Einführung |
468 |
|
| |
bb) Erfordernis der Durchführung einer Compliance-Due Diligence |
469 |
|
| |
cc) (Eigen-)Interesse der Geschäftsleitung (Business Judgement Rule) |
471 |
|
| |
dd) Normative Kraft des Faktischen |
471 |
|
| |
b) Vorgehensweise: Abgestufte, risikobasierte Compliance-Due Diligence |
472 |
|
| |
aa) Rechtlicher Rahmen |
472 |
|
| |
bb) Ermittlung des Risikoprofils der Zielgesellschaft |
473 |
|
| |
cc) Risikobewertung und Dokumentation |
474 |
|
| |
dd) Eigentliche Due Diligence |
474 |
|
| |
c) Due Diligence nach Vollzug |
474 |
|
| |
2. Umgang mit bekannten/bekanntgewordenen Compliance-Verstößen/-Risiken |
475 |
|
| |
a) Risikobewertung |
475 |
|
| |
b) Umgang mit bekannten/entdeckten Compliance-Risiken |
476 |
|
| |
IV. Zusammenfassung |
479 |
|
| |
17. Kapitel: Bedeutung und Funktion des Aufsichtsratsbeim Compliance-Management |
481 |
|
| |
I. Einleitung |
481 |
|
| |
II. Funktionstrennung, Überwachungsmaßstab undInstrumentarien der Überwachung |
481 |
|
| |
1. Funktionstrennung und Überwachungsmaßstab |
481 |
|
| |
2. Instrumentarien der Überwachung |
482 |
|
| |
a) Prüfungsausschuss |
482 |
|
| |
b) Erlangung von Informationen |
483 |
|
| |
aa) Berichterstattung und Befragung des Vorstands |
483 |
|
| |
bb) Befragung von Mitarbeitern und Compliance-Verantwortlichen |
485 |
|
| |
c) Compliance-Überwachung nach dem PrüfungsstandardIDW EPS 980 |
486 |
|
| |
III. Die Rolle des Aufsichtsrats bei der Einführung einesCompliance-Management-Systems (CMS) |
486 |
|
| |
IV. Die laufende Überwachung des Aufsichtsrats von bestehenden Compliance-Management-Systemen(CMS) |
488 |
|
| |
1. Überwachung der laufenden Compliance |
488 |
|
| |
2. Überwachung bei erheblichen Compliance-Verstößen |
489 |
|
| |
V. Der Aufsichtsrat bei der Aufklärung von Compliance-Verstößen |
490 |
|
| |
1. Überwachung der Aufklärung des Vorstands |
490 |
|
| |
2. Eigene Aufklärungszuständigkeit des Aufsichtsrats beiFehlverstößen des Vorstands |
491 |
|
| |
VI. Compliance-Reporting des Aufsichtsrats |
492 |
|
| |
VII. Fazit |
493 |
|
| |
18. Kapitel:Compliance-Management und Strafrecht |
494 |
|
| |
I. Einführung in die Criminal Compliance |
494 |
|
| |
II. Strafrechtliche Grundlagen der Compliance-Verpflichtung |
501 |
|
| |
III. Typische strafrechtliche Compliance-Risiken |
505 |
|
| |
1. Korruption |
507 |
|
| |
a) Vorteilsgewährung (§ 333 StGB) |
511 |
|
| |
b) Bestechung (§ 334 StGB) |
518 |
|
| |
c) Bestechung von Mandatsträgern (§ 108e StGB) |
520 |
|
| |
d) Bestechung im geschäftlichen Verkehr (§ 299 Abs. 2 StGB) |
523 |
|
| |
e) Bestechlichkeit im geschäftlichen Verkehr (§ 299 Abs. 1 StGB) |
528 |
|
| |
f) Bestechung im Gesundheitswesen (§ 299b StGB) |
528 |
|
| |
g) Auslandskorruption |
530 |
|
| |
h) Korruptionsdelikte im weiteren Sinne |
535 |
|
| |
2. Untreue (§ 266 StGB) |
537 |
|
| |
a) Generierung von Bestechungsgeld |
537 |
|
| |
b) Zahlung von Bestechungsgeld |
539 |
|
| |
3. Steuerverkürzung (§§ 370 ff. AO) |
540 |
|
| |
IV. Strafrechtliche Risiken der Non-Compliance für dieVerantwortlichen des Unternehmens |
544 |
|
| |
1. Originäre strafrechtliche Verantwortlichkeit |
544 |
|
| |
a) Verantwortlichkeit der Geschäftsleitung |
545 |
|
| |
b) Gremienentscheidungen |
546 |
|
| |
c) Delegation von Verantwortungsbereichen |
547 |
|
| |
d) Verantwortlichkeit des Compliance Officers |
549 |
|
| |
e) Aufsichtsrat |
551 |
|
| |
2. Innerbetriebliche Anweisungen/Täterschaft kraftOrganisationsherrschaft |
553 |
|
| |
3. Fahrlässigkeitshaftung (sog. Organisationsverschulden) |
554 |
|
| |
4. Verletzung der Aufsichtspflicht in Betrieben undUnternehmen (§ 130 OWiG) |
555 |
|
| |
V. Strafrechtliche Risiken der Non-Compliance für dasUnternehmen |
559 |
|
| |
1. (Unternehmens-)Strafrecht |
559 |
|
| |
a) Überblick |
559 |
|
| |
b) Verfall und Einziehung |
559 |
|
| |
c) Das Unternehmen als Nebenbeteiligter im Strafverfahren |
561 |
|
| |
2. Ordnungswidrigkeitenrecht |
561 |
|
| |
a) Unternehmensgeldbuße gem. § 30 OWiG |
561 |
|
| |
b) Das Unternehmen als Nebenbeteiligter im Verfahren wegen §30 OWiG |
564 |
|
| |
c) Verfall (§ 29a OWiG) |
564 |
|
| |
VI. Sonstige Risiken für das Unternehmen und seineVerantwortlichen |
565 |
|
| |
1. Blacklisting und Vergabesperren |
565 |
|
| |
a) Registereintragungen |
565 |
|
| |
aa) Bundeszentralregister |
565 |
|
| |
bb) Gewerbezentralregister |
565 |
|
| |
cc) Vergabe- bzw. Korruptionsregister |
566 |
|
| |
dd) Sonstige Register |
568 |
|
| |
b) Vergaberechtliche Konsequenzen |
568 |
|
| |
2. Inhabilität (§§ 70 StGB, 6 GmbHG, 76 AktG) |
570 |
|
| |
3. Aufsichtsrechtliche Konsequenzen |
572 |
|
| |
VII. Strafrechtliche Risiken innerhalb des Compliance-Prozesses („failed compliance“) |
573 |
|
| |
19. Kapitel: Das Organisationsrisiko der „kriminogenenVerbandsattitüde“ |
577 |
|
| |
I. Nützliche Rechtsverstöße zum Vorteil des Unternehmensund zum Nachteil des Mitarbeiters |
577 |
|
| |
II. Die Theorie der kriminogenen Verbandsattitüde |
578 |
|
| |
III. Empirische Untersuchungen zur kriminogenenVerbandsattitüde |
579 |
|
| |
IV. Das Milgram-Experiment zur Gehorsamsbereitschaftgegenüber Autorität |
581 |
|
| |
V. Konsequenzen für die Organisationspflicht der Organe |
582 |
|
| |
VI. Die schon vorhandene kriminelle Attitüde im Unternehmenund die Legalitätspflicht zu ihrer Abwehr |
583 |
|
| |
VII. Die präventive Legalitätspflicht durch Vorstände undGeschäftsführer vor dem Rechtsverstoß |
584 |
|
| |
VIII. Die unternehmensexterne Aufklärung |
585 |
|
| |
IX. Die unternehmensinterne Aufklärung |
586 |
|
| |
X. Die Strafbarkeit von Managern als „Täter hinter demTäter“ durch Organisationsherrschaft |
587 |
|
| |
XI. Zwischenergebnis |
588 |
|
| |
XII. Kriminelles Mitarbeiterverhalten zum Vorteil desUnternehmens als vorhersehbares Organisationsrisiko |
589 |
|
| |
XIII. Die Rechtsgutsferne als Ursache kriminogenerWirkung |
591 |
|
| |
XIV. Die existentielle Abhängigkeit vom Unternehmen alsUrsache kriminogener Wirkungen |
592 |
|
| |
XV. Der altruistische selbstlose Straftäter als kriminogeneUrsache |
594 |
|
| |
XVI. Die diffuse Verantwortungslosigkeit durch Arbeitsteilung als kriminogene Ursache und die Vermeidungdurch die Delegation von Rechtspflichten |
594 |
|
| |
XVII. Blockierte Informationen als Ursache kriminogenerVerbandsattitüden |
595 |
|
| |
XVIII. Die Auskunftspflicht mit Verwertungsverbot alsKonfliktlösung |
597 |
|
| |
XIX. Fazit |
599 |
|
| |
20. Kapitel:Kartellrechts-Compliance |
600 |
|
| |
I. Überblick über die Kartellrechts-Risiken |
600 |
|
| |
1. Einführung |
600 |
|
| |
2. Kartellrechts-Risikokategorien |
602 |
|
| |
a) Das Verbot wettbewerbsbeschränkender Vereinbarungen:Absprachen mit anderen Unternehmen |
603 |
|
| |
aa) Vereinbarung, abgestimmtes Verhalten oder Beschluss |
603 |
|
| |
bb) Bezweckte oder bewirkte Wettbewerbsbeschränkung |
604 |
|
| |
cc) Sehr hohe Risiken |
605 |
|
| |
(1) „Hardcore-Kartelle“ |
605 |
|
| |
(2) Ausschreibungen |
606 |
|
| |
(3) Informationsaustausch |
607 |
|
| |
(4) Verbandsarbeit |
609 |
|
| |
(5) Preisbindungen und Preisempfehlungen |
610 |
|
| |
(6) Marktaufteilungen beim Vertrieb |
611 |
|
| |
(7) Internet-Behinderungen |
613 |
|
| |
(8) Boykott |
615 |
|
| |
dd) Weniger hohe Risiken |
615 |
|
| |
(1) Horizontale Kooperationen |
615 |
|
| |
(2) Vertriebsbeschränkungen |
617 |
|
| |
(3) Wettbewerbsverbote (Markenzwang) |
619 |
|
| |
b) Machtmissbrauch (einseitige Handlungen) |
620 |
|
| |
aa) Allgemeine Voraussetzungen |
620 |
|
| |
(1) Marktbeherrschende Stellung |
620 |
|
| |
(2) Missbräuchliche Ausnutzung |
621 |
|
| |
bb) Sehr hohe Risiken |
622 |
|
| |
(1) Behinderung/Ausgrenzung von Wettbewerbern |
622 |
|
| |
(2) Kundenbindung, Treuerabatte |
622 |
|
| |
(3) Squeeze-out von Wettbewerbern, Kosten-Preis-Schere |
623 |
|
| |
(4) Kopplung von Angeboten |
623 |
|
| |
cc) Weniger hohe Risiken |
623 |
|
| |
(1) Ausbeutungsmissbrauch, Kundenpreisdifferenzierung |
623 |
|
| |
(2) Niedrigpreisstrategien |
624 |
|
| |
(3) Lieferverweigerung |
624 |
|
| |
(4) Ausschließlichkeitsbindungen |
625 |
|
| |
(5) Diskriminierung abhängiger Unternehmen |
625 |
|
| |
(6) Behinderung von kleineren Wettbewerbern |
626 |
|
| |
3. Haftungssubjekte (Wer haftet für wen?) |
626 |
|
| |
a) Unternehmenshaftung |
626 |
|
| |
b) Persönliche Haftung |
627 |
|
| |
c) Haftung im Konzern („Wirtschaftliche Einheit“) |
628 |
|
| |
d) Haftung bei Gemeinschaftsunternehmen |
629 |
|
| |
e) Haftung für Beauftragte |
629 |
|
| |
f) Haftung bei Rechtsnachfolge |
630 |
|
| |
4. Art und Umfang der Haftung |
631 |
|
| |
a) Strafrechtliche Sanktionen |
631 |
|
| |
b) Bußgelder |
632 |
|
| |
aa) EU-Recht |
633 |
|
| |
bb) Deutsches Recht |
634 |
|
| |
c) Schadensersatz |
635 |
|
| |
aa) Individualansprüche |
635 |
|
| |
bb) Kollektiver Rechtsschutz |
637 |
|
| |
cc) Preisschirmeffekte |
637 |
|
| |
dd) Schadensausgleich im Innenverhältnis |
637 |
|
| |
d) Sonstige Nachteile |
638 |
|
| |
II. Management der Kartellrechtsrisiken in der Praxis |
638 |
|
| |
1. Risikoanalyse: Identifizierung und Bewertung |
639 |
|
| |
a) Kartellrechtliches Risikoprofil |
639 |
|
| |
b) Geschäftstätigkeit und Geschäftsbeziehungen |
639 |
|
| |
c) Risikokategorisierung und Risikobewertung |
640 |
|
| |
d) Einführung eines „Top down-Ansatzes“ |
641 |
|
| |
2. Präventive Maßnahmen |
641 |
|
| |
a) Richt- und Leitlinien zum Kartellrecht |
642 |
|
| |
b) Schulungen (Präsenzschulungen und E-Learning) |
644 |
|
| |
3. Maßnahmen zur Kontrolle/Aufdeckung |
646 |
|
| |
III. Behördliche Untersuchungen |
647 |
|
| |
1. Durchsuchungen der EU-Kommission |
648 |
|
| |
a) Zuständigkeit |
648 |
|
| |
b) Befugnisse |
649 |
|
| |
c) Elektronische Durchsuchung |
650 |
|
| |
d) Typischer Ablauf |
651 |
|
| |
2. Durchsuchungen des Bundeskartellamts |
653 |
|
| |
a) Zuständigkeit |
653 |
|
| |
b) Befugnisse |
653 |
|
| |
c) Elektronische Durchsuchung |
654 |
|
| |
d) Typischer Ablauf |
655 |
|
| |
3. Verhaltensregeln für die Unternehmen |
656 |
|
| |
a) Vor der Durchsuchung |
656 |
|
| |
b) Während der Durchsuchung |
657 |
|
| |
c) Nach der Durchsuchung |
658 |
|
| |
21. Kapitel:Datenschutz im Compliance-Management |
660 |
|
| |
I. Einleitung |
660 |
|
| |
II. Der konzeptionelle Schutz personenbezogener Daten |
663 |
|
| |
1. Gesetzliche Grundlagen |
663 |
|
| |
a) Bundesdatenschutzgesetz |
663 |
|
| |
b) Landesdatenschutzgesetze |
664 |
|
| |
c) Datenschutzgrundverordnung |
664 |
|
| |
d) Europäische Richtlinien |
665 |
|
| |
e) Weitere Gesetze mit datenschutzrechtlichen Vorgaben |
666 |
|
| |
2. Zentrale Grundsätze |
668 |
|
| |
a) Verbot mit Erlaubnisvorbehalt |
668 |
|
| |
b) Prinzip der Verhältnismäßigkeit |
670 |
|
| |
c) Datensparsamkeit |
671 |
|
| |
d) Transparenz |
672 |
|
| |
e) Zweckbindung |
672 |
|
| |
3. Grundbegriffe |
672 |
|
| |
a) Personenbezogene Daten |
673 |
|
| |
b) Verantwortliche Stelle |
674 |
|
| |
c) Umgang mit personenbezogenen Daten |
674 |
|
| |
aa) Erheben |
675 |
|
| |
bb) Verarbeiten |
675 |
|
| |
cc) Nutzen |
677 |
|
| |
d) Auftragsdatenverarbeitung |
678 |
|
| |
III. Betrieblicher Datenschutz |
679 |
|
| |
1. Pragmatischer Ansatz: Wo fange ich an? |
679 |
|
| |
2. Beratungspraxis |
682 |
|
| |
a) Der betriebliche Datenschutzbeauftragte |
686 |
|
| |
b) Prozess der Datenschutzberatung |
688 |
|
| |
c) Praxisrelevante Beispiele |
691 |
|
| |
3. Implementierung |
693 |
|
| |
4. Zusammenarbeit mit Behörden |
696 |
|
| |
IV. Instrumente der datenschutzrechtlichen Compliance |
697 |
|
| |
1. Tone-From-The-Top |
697 |
|
| |
2. Interne Richtlinien |
698 |
|
| |
a) Datenschutzrichtlinie |
698 |
|
| |
b) IT-Nutzungsrichtlinie |
699 |
|
| |
c) E-Mail-Policy |
700 |
|
| |
d) IT-Datenschutzmanagement-Richtlinie (Datenschutzmanagementkonzept) |
700 |
|
| |
e) Archivierungs- & Löschungsrichtlinie |
701 |
|
| |
3. Verfahrensübersicht |
702 |
|
| |
4. Verfahrensverzeichnis |
702 |
|
| |
5. Interne Kommunikation und Awareness |
703 |
|
| |
a) Der Datenschutz-Newsletter |
703 |
|
| |
b) Intranet |
704 |
|
| |
c) Der Datenschutz-Tag & Fachtagungen |
704 |
|
| |
6. Schulungen |
704 |
|
| |
a) Persönliche Schulungen |
705 |
|
| |
b) E-Learning/Webinars |
706 |
|
| |
c) Unterstützung dezentraler Compliance-Funktionen |
707 |
|
| |
V. Effektive Datenschutzüberwachung |
708 |
|
| |
1. Audits und Maßnahmepläne/Quick Self-Assessment |
708 |
|
| |
2. IT-Infrastruktur-Reviews und Koordinierung mit IT Security |
710 |
|
| |
3. Incident- und Regel-Reporting aus den Betrieben |
711 |
|
| |
4. Der Datenschutzjahresbericht |
711 |
|
| |
5. Bericht an Aufsichtsrat/Compliance-Bericht/Audit Committee |
712 |
|
| |
6. Zusammenarbeit mit dem Compliance Officer, IT-Security &Revision |
712 |
|
| |
VI. Beschäftigtendatenschutz |
714 |
|
| |
1. Bedeutung des Beschäftigtendatenschutzes für Compliance |
714 |
|
| |
2. Rechtsgrundlagen für den Umgang mit Mitarbeiterdaten |
717 |
|
| |
a) Kollektivvereinbarungen zur Nutzung von Mitarbeiterdaten |
717 |
|
| |
b) Rechtfertigende Einwilligung des Mitarbeiters |
719 |
|
| |
c)Arbeitsvertragliche Regelungsmöglichkeiten |
720 |
|
| |
d) Gesetzliche Erlaubnistatbestände |
721 |
|
| |
e) Internationaler Datenverkehr mit Beschäftigtendaten |
723 |
|
| |
3. Risiken beim Umgang mit Beschäftigtendaten |
724 |
|
| |
a) Phase 1: Begründung des Arbeitsverhältnisses/„Boarding-Phase“ |
724 |
|
| |
b) Phase 2: Durchführung des Arbeitsverhältnisses/„On Board-Phase“ |
725 |
|
| |
c) Phase 3: Beendigung des Arbeitsverhältnisses/„Off Boarding-Phase“ |
726 |
|
| |
4. Zusammenarbeit mit dem Betriebsrat |
727 |
|
| |
5. Personalleiter und Betriebsrat als Teil des Datenschutz- undCompliance-Teams |
728 |
|
| |
6. Hinweise, Muster und Beispielsfall |
730 |
|
| |
a) Hinweise zur Regelung der Nutzung von Beschäftigtendaten |
730 |
|
| |
b) Hinweise zur Regelung der Nutzung von Internet und E-Mail |
731 |
|
| |
c) Beispielsfall zur Kontrolle bei Verdacht gegen Mitarbeiter |
734 |
|
| |
VII. Fazit |
737 |
|
| |
22. Kapitel: IT-Compliance – Software-Lizenzmanagement,IT-Sicherheit und Blockchain |
739 |
|
| |
I. Rechtliche Herausforderungen der fortschreitendenDigitalisierung und Vernetzung |
739 |
|
| |
II. Software-Lizenzmanagement |
740 |
|
| |
1. Rechtliche Grundlagen der Nutzung von Computerprogrammen |
741 |
|
| |
2. Besondere Arten von Software, insbesondere Open-Source-Software |
742 |
|
| |
3. Software-Lizenzmanagement im Rahmen verantwortungsbewussterUnternehmensführung |
743 |
|
| |
4. Rechtsfolgen einer Unterlizenzierung |
743 |
|
| |
III. Software-Lizenzmanagement im Rahmen von Cloud-Diensten |
744 |
|
| |
1. Nutzungshandlungen beim Cloud Computing |
744 |
|
| |
a) Recht der öffentlichen Zugänglichmachung der Software |
745 |
|
| |
b) Recht zur Vervielfältigung der Software |
746 |
|
| |
2. Lizenzmanagement im Zusammenhang mitCloud Computing-Diensten |
746 |
|
| |
IV. Rechtsrahmen von Softwarelizenz-Audits |
747 |
|
| |
1. Rechtliche Grundlagen für einen Softwarelizenz-Audit |
748 |
|
| |
2. Vertragliche Ausgestaltung eines Softwarelizenz-Audits |
749 |
|
| |
V. IT-Sicherheit |
750 |
|
| |
1. Das IT-Sicherheitsgesetz |
751 |
|
| |
a) Das BSIG |
751 |
|
| |
aa) Adressatenkreis und Anwendungsbereich |
751 |
|
| |
bb) Anforderungen an die Betreiber |
752 |
|
| |
cc) Meldepflichten für Betreiber Kritischer Infrastrukturen |
753 |
|
| |
dd) Der Begriff der Störung |
754 |
|
| |
ee) Weitere Befugnisse des BSI |
754 |
|
| |
ff) Sanktionsmöglichkeiten |
754 |
|
| |
b) Änderungen im TKG |
754 |
|
| |
aa) Sicherheitsanforderungen nach § 109 Abs. 2 Satz 2 TKG |
755 |
|
| |
bb) Meldepflichten nach § 109 Abs. 5 TKG |
755 |
|
| |
cc) Information der Nutzer nach § 109a TKG |
755 |
|
| |
c) Änderungen im TMG |
755 |
|
| |
d) Verhältnis zu NIS-Richtlinie |
756 |
|
| |
2. Sonstige Quellen des Rechts der IT-Sicherheit |
756 |
|
| |
a) Datenschutzrechtliche Anforderungen an die IT-Sicherheit |
756 |
|
| |
b) Besondere Vorgaben für Banken/Finanzdienstleister/Wertpapierdienstleistungsunternehmenund Versicherungsunternehmen |
757 |
|
| |
c) Grundschutz-Katalog des BSI und internationale Normen |
758 |
|
| |
3. Adressaten der Pflichten zur IT-Sicherheit |
759 |
|
| |
VI. Blockchain und Smart Contracts |
759 |
|
| |
1. Was ist die „Blockkette“? |
760 |
|
| |
2. Rechtliche Herausforderungen und Compliance-Themen |
760 |
|
| |
VII. Implementierung eines IT-Compliance-Systems |
761 |
|
| |
1. Risikoanalyse und Grundlagen eines Lizenzmanagement-Systems |
761 |
|
| |
2. Richtlinie zur IT-Sicherheit |
763 |
|
| |
3. Der IT-Sicherheitsbeauftragte |
763 |
|
| |
23. Kapitel: Cybersecurity, IT-Sicherheitund Krisenmanagement |
765 |
|
| |
I. Analyse |
765 |
|
| |
1. Ziele der IT-Sicherheit |
765 |
|
| |
2. Cybercrime im Wandel |
766 |
|
| |
a) Ideelle Hintergründe |
767 |
|
| |
b) Materielle Hintergründe |
768 |
|
| |
3. Entwicklungen bei Schutzmaßnahmen |
768 |
|
| |
II. Vorbeugende Maßnahmen |
769 |
|
| |
1. Adressaten |
769 |
|
| |
a) KRITIS-Betreiber |
770 |
|
| |
b) Anbieter von Telemediendiensten |
771 |
|
| |
c) Anbieter von Telekommunikationsdiensten |
771 |
|
| |
d) Bank- und Finanzwesen |
772 |
|
| |
e) Energiewirtschaft |
772 |
|
| |
f) Geschäftsführung von Aktiengesellschaften und GmbHs |
772 |
|
| |
2. Inhalt der gesetzlichen Verpflichtungen |
772 |
|
| |
a) BSIG |
773 |
|
| |
b) BDSG |
774 |
|
| |
c) TMG |
775 |
|
| |
d) TKG |
775 |
|
| |
e) KWG, ZAG, MaRisk und MaSI |
776 |
|
| |
aa) MaRisk (Mindestanforderungen an das Risikomanagement) |
776 |
|
| |
bb) MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) |
777 |
|
| |
cc) § 22 Abs. 1 ZAG |
779 |
|
| |
dd) Konkurrenz zum BSIG |
779 |
|
| |
f) EnWG |
779 |
|
| |
g) NIS-Richtlinie |
780 |
|
| |
h) §§ 76, 91, 93 AktG |
781 |
|
| |
3. Unternehmensinterne Vorkehrungen |
782 |
|
| |
a) Interne Vorgaben |
782 |
|
| |
b) Aktuelle technisch-organisatorische Schutzmaßnahmen |
782 |
|
| |
III. Der Krisenfall |
783 |
|
| |
1. Hacker-Angriffe erkennen |
784 |
|
| |
2. Rechtliche Konsequenzen und Handlungsoptionen |
784 |
|
| |
a) Melde- und Informationspflichten |
784 |
|
| |
aa) BDSG |
784 |
|
| |
bb) BSIG |
785 |
|
| |
cc) TMG |
786 |
|
| |
dd) TKG |
786 |
|
| |
ee) MaSI |
787 |
|
| |
ff) Sonstige Informationspflichten |
787 |
|
| |
b) Werkzeuge zur Abwehr von Cyberangriffen |
787 |
|
| |
3. Interne und externe Kommunikation |
788 |
|
| |
4. Mittel- und längerfristige Maßnahmen |
789 |
|
| |
IV. Ausblick |
789 |
|
| |
24. Kapitel:Tax Compliance |
791 |
|
| |
I. Einleitung |
791 |
|
| |
II. Steuerliche Pflichten |
792 |
|
| |
1. Allgemeine steuerliche Pflichten |
792 |
|
| |
2. Spezifische materiell-rechtliche Problemschwerpunkte |
796 |
|
| |
a) Lohnsteuer und Sozialabgaben |
796 |
|
| |
b) Umsatzsteuer |
797 |
|
| |
c) Verdeckte Gewinnausschüttungen |
798 |
|
| |
d) Anzeigepflicht nach § 153 AO |
799 |
|
| |
e) Tochtergesellschaften und Betriebstätten im Ausland |
801 |
|
| |
f) Internationale Verrechnungspreise |
802 |
|
| |
g) Versagung des Betriebsausgabenabzugs nach § 160 AO |
802 |
|
| |
h) Betriebsausgabenabzugsverbot nach § 4 Abs. 5 Satz 1 Nr. 10 EStG |
803 |
|
| |
III. Risiken mangelnder Tax Compliance |
804 |
|
| |
1. Steuerliche Haftungsrisiken |
804 |
|
| |
2. Steuerstrafrechtliche und steuerordnungswidrigkeitenrechtlicheRisiken |
806 |
|
| |
a) Sanktionen gegen Organe und Mitarbeiter |
807 |
|
| |
aa) Steuerhinterziehung und leichtfertige Steuerverkürzung (§§ 370, 378AO) |
807 |
|
| |
(1) Täter |
807 |
|
| |
(2) Objektiver Tatbestand |
808 |
|
| |
(3) Subjektiver Tatbestand |
811 |
|
| |
(4) Strafe |
813 |
|
| |
bb) Verletzung der Aufsichtspflicht (§ 130 OWiG) |
813 |
|
| |
b) Sanktionen gegen das Unternehmen |
814 |
|
| |
aa) Verbandsgeldbuße (§ 30 OWiG) |
814 |
|
| |
bb) Verfallsanordnung (§ 29a OWiG) |
816 |
|
| |
IV. Tax Compliance-System |
817 |
|
| |
1. Risikoanalyse |
817 |
|
| |
2. Kernelemente eines Tax Compliance-Systems |
818 |
|
| |
a) Zuständigkeit für Tax Compliance |
818 |
|
| |
b) Zuständigkeit und Verantwortlichkeit bzgl. der steuerlichenPflichten |
818 |
|
| |
c) Berichtswege/Berichtspflichten |
819 |
|
| |
d) Prozessbeschreibung Deklarationswesen |
821 |
|
| |
e) Kontroll- und Überwachungsmaßnahmen |
822 |
|
| |
f) Umgang mit Betriebsprüfungen |
823 |
|
| |
g) Schulungen |
824 |
|
| |
h) Dokumentation |
824 |
|
| |
V. Berichtigung von Steuererklärungen |
825 |
|
| |
1. Korrekturvorschrift |
825 |
|
| |
2. Selbstanzeige im Unternehmen (§§ 371, 378 Abs. 3 AO) |
826 |
|
| |
a) Person des Anzeigeerstatters |
826 |
|
| |
b) Positive Wirksamkeitsvoraussetzungen des § 371 AO |
826 |
|
| |
c) Negative Wirksamkeitsvoraussetzungen des § 371 AO(Sperrgründe) |
829 |
|
| |
d) Absehen von Verfolgung nach § 398a AO |
831 |
|
| |
e) Bußgeldbefreiende Selbstanzeige nach § 378 Abs. 3 AO |
833 |
|
| |
VI. Fazit |
833 |
|
| |
25. Kapitel:Exportkontrolle und Compliance |
834 |
|
| |
I. Einleitung |
834 |
|
| |
II. Rechtsgrundlagen der Exportkontrolle in Deutschland |
835 |
|
| |
1. Supranationale Vorgaben |
835 |
|
| |
2. Nationale Vorgaben |
836 |
|
| |
3. Relevanz ausländischen Exportkontrollrechts |
837 |
|
| |
a) Allgemeines |
837 |
|
| |
b) Insbesondere: US-Re-Exportkontrolle |
837 |
|
| |
III. Exportkontrollrechtliche Genehmigungspflichten |
839 |
|
| |
1. Allgemeines |
839 |
|
| |
2. Genehmigungspflichten bei Ausfuhren in Länder außerhalbder EU |
839 |
|
| |
a) Gelistete Güter |
839 |
|
| |
b) Nicht gelistete Güter |
840 |
|
| |
3. Genehmigungspflichten bei Verbringungen |
841 |
|
| |
a) Verbringungen bei Endverbleib in der EU |
841 |
|
| |
b) Verbringungen mit anschließender Ausfuhr |
841 |
|
| |
4. Sonstige Genehmigungspflichten |
842 |
|
| |
a) Handels- und Vermittlungsgeschäfte |
842 |
|
| |
b) Technische Unterstützung |
843 |
|
| |
IV. Exportkontrollrechtliches Genehmigungsverfahren |
843 |
|
| |
1. Zuständigkeit des BAFA |
843 |
|
| |
2. Ablauf des Genehmigungsverfahrens |
844 |
|
| |
3. Genehmigungstypen |
845 |
|
| |
4. Sanktionen bei exportkontrollrechtlichen Verstößen |
846 |
|
| |
V. Exportkontrollrechtliche Compliance-Strukturen |
847 |
|
| |
1. Allgemeines |
847 |
|
| |
2. Der Ausfuhrverantwortliche |
848 |
|
| |
3. Modell eines innerbetrieblichen Exportkontrollsystems |
850 |
|
| |
a) Überblick über die relevanten Strukturelemente |
850 |
|
| |
b) Umsetzung im Einzelfall |
852 |
|
| |
VI. Zusammenfassung |
854 |
|
| |
Literaturverzeichnis |
856 |
|
| |
Stichwortverzeichnis |
896 |
|
