Die Bedeutung von Compliance für Unternehmen

Der Begriff Compliance taucht immer häufiger in den Medien auf, aber was bedeutet dieser Begriff überhaupt? Als „Compliance“ wird die Einhaltung von Gesetzen und Richtlinien, aber auch die Befolgung freiwilliger Kodizes im Unternehmen definiert. Da die Gesetzeslage seit Jahrzehnten komplexer wird, müssen Unternehmen zunehmend Mitarbeiter einsetzen und eigene Abteilungen/Strukturen unterhalten, um gesetzestreu zu  arbeiten. Nicht nur Großunternehmen müssen sich deshalb zunehmend mit dieser Fragestellung  beschäftigten, auch für mittelständische Unternehmen gelten heute komplexe Compliance-Vorschriften, die sie verpflichten, bestimmte Informationen zu veröffentlichen sowie Sicherheitsvorkehrungen zum Unternehmensschutz und zur Risikominimierung zu treffen.

Ein wirksames Compliance-Management-System (CMS) fehlt im Mittelstand häufig. Compliance-Maßnahmen stellen immer noch ein notwendiges Übel dar, um sich an Gesetzesvorlagen zu halten und werden deshalb überwiegend als Kostenfaktor gesehen. Dabei wird der Nutzen dieser Maßnahmen unterschätzt. Schließlich spielt Compliance bei der Bewertung von Unternehmen eine große Rolle. Wird das Unternehmen veräußert oder findet eine Fusion statt, wird bei der durchzuführenden Due Diligence geprüft, ob das Unternehmen in der Vergangenheit ein effektives Risikomanagement betrieben hat. Die Risiken z. B. die Haftung für vergangene Schäden werden dadurch zwangsläufig für den Erwerber/Übernehmer verringert, was zu einer erheblichen Steigerung des Firmenwertes führt. Auch machen viele Unternehmen die Eingehung oder Aufrechterhaltung von Vertragsbeziehungen davon abhängig, ob ihr Vertragspartner „compliant“ ist. Um nicht für das Fehlverhalten des Geschäftspartners in Anspruch genommen zu werden, verlangen sie deshalb oft Nachweise für die Implementierung und Anwendung der Compliance. Auch wird verkannt, dass es Unternehmen ohne CMS, bei Banken oder alternativen Kreditgebern schwerer haben und evtl. deutlich höhere Zinsen akzeptieren müssen. Unterhält die Firma ein wirksames CMS, hat dies zudem positive Auswirkungen auf ihre Rating Bewertung. Entscheidet sich ein KMU für die Implementierung eines solchen Systems, muss dieses vier Grundpfeiler enthalten. Zuerst werden die Risiken des Unternehmens identifiziert. Danach wird ein internes Informationssystem aufgebaut. Darauf folgend werden interne und externe Kommunikationssysteme entwickelt und zuletzt ein internes Kontrollsystem eingeführt. Durch diese Maßnahmen können nicht nur Schadensersatzansprüchen (z. B. gegen das Unternehmen, den Geschäftsführer, die Mitarbeiter etc.), sondern auch wirtschaftliche Risiken wie Sanktionen, Bußgeldern, Strafverfahren, Aufklärungskosten und Imageschäden vorgebeugt werden.

IT-Compliance als Teilbereich der Compliance

Informationstechnologie, so hilfreich sie ist, ist ebenfalls ein Unternehmensrisiko. Risiken entstehen dabei u. a. durch Viren, Trojaner, ungesicherte W-LAN Schnittstellen, Laptops, unzureichenden Passwortschutz, unzureichende Löschroutine/-verfahren sowie die mangelhafte Datensicherung. Diesen Risiken soll mittels Einsatz von IT-Compliance entgegen gewirkt werden. Unter „IT-Compliance“ wird die Einhaltung der speziell die IT eines Unternehmens betreffenden Regelwerke, Policies und Gesetze verstanden. Für IT-Compliance gibt es kein einheitliches Gesetz, viel mehr gibt es einzelne, verstreute gesetzliche Regelungen z. B. HGB, BDSG, MaRisk, KonTraG, Basel II, Sarbanes-Oxley-Act (SOX) etc. mit Bezug zur IT. Allerdings sind wesentliche Elemente definiert, die eine effektive IT-Compliance beinhalten muss.

Als erstes Element ist an dieser Stelle das Risk-Management zu nennen, welches dafür sorgt, dass Sorgfaltsanforderungen an die IT-Infrastruktur eingehalten werden, wie sie sich beispielsweise aus § 43 GmbHG und §§ 93, 116 AktG ergeben. Daneben zielt es auf die Einhaltung der Informations- sowie Dokumentationspflichten ab. Auch die IT-Security ist ein Bestandteil der IT-Compliance, sie soll unerlaubte Zugriffe von innen und außen vermeiden. Notwendig ist es deshalb Lese- und Editierrechte für die Anwender festzulegen und durchzusetzen. Darüber hinaus müssen Firewalls, Virenprogramme und Antispam-Software eingeführt und genutzt werden. Ein rechtskonformer Systemeinsatz z. B. die Prüfung, ob dem Unternehmen genug Betriebslizenzen vorliegen und eine rechtskonforme Archivierung z. B. Dokumenten- und Mailmanagement nach den Grundsätzen ordnungsgemäßer Buchführung (GOB), ist ebenfalls eine wichtige Säule dieses Teilbereiches der Compliance. Ein weiteres Element ist der Datenschutz, welcher Maßnahmen gegen Verlust oder Beschädigung von Daten trifft. Da Compliance häufig eine Verarbeitung von personenbezogenen Daten voraussetzt und der Gesetzgeber hier enge Grenzen zieht, kann es zwischen der Compliance Maßnahme und den datenschutzrechtlichen Anforderungen zu Konflikten kommen. Insbesondere im Bereich des Arbeitnehmerdatenschutzes stellt das BDSG strenge Anforderungen. Ein Problem stellt z. B. die E-Mail-Archivierung bei erlaubter Privatnutzung des E-Mail-Accounts dar. Denn die Privatnutzung infiziert den gesamten E-Mail-Account und ein Eingriff des Arbeitgebers lässt sich nur noch aus technischen bzw. Sicherheitsgründen rechtfertigen. Eine Erlaubnisnorm die mit den §§ 28, 32 BDSG vergleichbar wäre, existiert an dieser Stelle nicht. Weiter Schwierigkeiten verursacht das non-EU Anti-Terrorlisten Screening von Mitarbeitern, da hier auch keinen Rechtsgrundlage für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten greift. Auch beim Whistleblowing, das zur Bekämpfung von Verstößen gegen internen und externen Verhaltensvorschriften der Firma dient, ist Vorsicht geboten.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.