Compliance-Management im Unternehmen Strategie und praktische Umsetzung Herausgegeben von
Prof. Dr. Martin R. Schulz, LL.M. (Yale) Mit Beiträgen von Wolfram Bartuschka; Dr. Jochen Becker; Philipp Becker; Carsten Beisheim; Prof. Dr. Daniel Benkert; Dr. Viola Bensinger; Prof. Dr. Benjamin von Bodungen, LL.M. (Auckland); Dietmar Böhlke, MBA (Warwick); Dr. Marcus Böttger; Armin Fladung; Prof. Dr. Kai Förstl; Melanie Frankenberger; Dr. Katharina Hastenrath; Dr. Antje Heinen, LL.M., MBA; Sven Jacobs; Prof. Dr. Oliver Kessler; Dr. Lars Leupolt, LL.M. (Boston University); Dr. Michaela Möhlenbeck; Dr. Oliver Mross; Thomas Muth; Dr. Manfred Rack; Dr. Christian Rau, LL.M. (Georgetown); Hartmut T. Renz; Dr. Martin C. Schleper; Prof. Dr. Martin R. Schulz, LL.M. (Yale); Dr. Tobias Schwartz; Prof. Dr. Daniela Seeliger; Prof. Dr. Christopher Stehr; Franziska Struve; Dr. Benjamin D. Ullrich, M.Jur. (Oxford); Klaus G. Walter; Dr. Florian Wettner; Dr. Karl-Heinz Withus
Fachmedien Recht und Wirtschaft ⎪ dfv Mediengruppe ⎪ Frankfurt am Main
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http:// dnb.de abrufbar.
ISBN 978-3-8005-1630-8
© 2017 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Druckvorstufe: Wolfgang Schäfer, 68775 Ketsch Druck und Verarbeitung: Appel & Klinger Druck und Medien GmbH, 69502 Hemsbach Printed in Germany
Inhalt Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
V
Autorenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . .
VII
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . XLIII
Teil 1 Kernelemente und Handlungsstrategien 1. Kapitel Compliance-Management – Grundlagen, Zusammenhänge und Strategien (Schulz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
Grundlagen und Zusammenhänge . . . . . . . . . . . . . . .
1
I.
1. Compliance-Management als Führungs- und Organisationsaufgabe . . . . . . . . . . . . . . . . . . . . a) Verbindung von Compliance und Integritäts management . . . . . . . . . . . . . . . . . . . . . b) Zunahme von Rechts- und Compliance-Risiken . . . . c) Corporate Governance und CSR als dynamische Bezugsrahmen . . . . . . . . . . . . . . . . . . . . . d) Relevanz für alle Unternehmen . . . . . . . . . . . . . e) Nachteile von Regelverletzungen („NonCompliance“) . f) Besondere Merkmale von Compliance-Risiken . . . . . g) Parallelen und Unterschiede zum allgemeinen Risikomanagement . . . . . . . . . . . . . . . . . . . h) CompliancePflicht als verbandsübergreifendes Prinzip . . . . . . . . . . . . . . . . . . . . . . . . . . i) Grundfragen verantwortungsvoller Unternehmensführung . . . . . . . . . . . . . . . . . . . . . . . . . 2. Ziele und Vorteile von Compliance-Management . . . . . a) Prävention, Aufdeckung und Sanktionierung von Regelverletzungen . . . . . . . . . . . . . . . . . . . . b) Förderung von Regeltreue und Integrität („ComplianceKultur“) . . . . . . . . . . . . . . . . . c) Schutz von Unternehmen, Geschäftsleitern und Mitarbeitern . . . . . . . . . . . . . . . . . . . . . . . d) Sicherung der Reputation des Unternehmens . . . . . . e) Wahrung rechtlicher Gestaltungsmöglichkeiten. . . . . f) Vorteile im Marketing und Imagegewinn bei Bezugsgruppen . . . . . . . . . . . . . . . . . . . . .
1 2 5 7 9 10 11 12 14 15 17 17 17 18 18 19 20 XV
Inhaltsverzeichnis
II.
III.
g) Verteidigungsmöglichkeit im Fall von „NonCompliance“ . . . . . . . . . . . . . . . . . . . h) Verbesserung von Strukturen und Prozessen . . . . . .
21 21
Vorgaben und Orientierungshilfen . . . . . . . . . . . . . . .
22
1. Branchenspezifische Sonderregeln als Erkenntnisquelle . . 2. CompliancePflicht als Ausprägung der Leitungs verantwortung . . . . . . . . . . . . . . . . . . . . . . . . . 3. Notwendigkeit eines ComplianceRisikomanagements. . . 4. Anforderungen an Aufsichts und Überwachungs maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vorgaben der Unternehmensorganisations- und Garantenpflichten . . . . . . . . . . . . . . . . . . . . . 6. Einfluss von Vorschriften anderer Rechtsordnungen . . . . 7. Bedeutung von Compliance-Standards (Beispiel IDW PS 980) . . . . . . . . . . . . . . . . . . .
23
Kernelemente und Erfolgskriterien . . . . . . . . . . . . . . . 1. Handlungsspielraum bei der Ausgestaltung des Compliance-Managements . . . . . . . . . . . . . . . . . 2. Konzeption einer Compliance-Strategie . . . . . . . . . . a) Wahl eines unternehmensspezifischen Organisationsmodells. . . . . . . . . . . . . . . . . . . b) Verankerung einer Integritäts und Compliance-Kultur . . . . . . . . . . . . . . . . . . . aa) Authentisches Bekenntnis zu Regeltreue und Integrität durch die Geschäftsleitung . . . . . . . . bb) Aufnahme von Compliance in das Unternehmensleitbild („Mission Statement“) . . . . . . . . . . . cc) Formulierung und Kommunikation von Leitwerten („Code of Conduct“) . . . . . . . . . . . . . . . . dd) Effektive Vermittlung von Compliance und Integrität als Personalführungsaufgabe. . . . . . . c) Entwicklung einer ComplianceRisikostrategie . . . . . aa) Systematische Identifikation von Compliance Risiken . . . . . . . . . . . . . . . . . . . . . . . bb) Analyse und Bewertung . . . . . . . . . . . . . . cc) Entwicklung von Risikosteuerungsmaßnahmen . . dd) Berichterstattung zu Compliance-Risiken . . . . . ee) Regelmäßige Compliance-Audits. . . . . . . . . . d) Klärung von Zuständigkeiten und Delegationsmöglichkeiten . . . . . . . . . . . . . . . . e) Schlüsselrolle der Compliance Officer . . . . . . . . .
XVI
24 25 26 27 28 29 30 30 31 32 33 34 35 35 36 37 38 39 39 40 40 41 42
Inhaltsverzeichnis
. .
43 44
. . .
45 45 46
. .
46 47
Leitlinien und Empfehlungen . . . . . . . . . . . . . . . . . .
47
2. Kapitel Einführung eines „Code of Conduct“ (Benkert) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
f) Integration von Compliance in die Geschäftsprozesse. g) Koordination weiterer Unternehmensfunktionen . . . h) Initiierung bedarfsgerechter Schulungen und Fortbildungsangebote . . . . . . . . . . . . . . . . . i) Einrichtung von Kontrollen und FeedbackProzessen. j) Aufklärung von Verstößen . . . . . . . . . . . . . . k) Konsequente Sanktionierung von regelwidrigem und unethischem Verhalten. . . . . . . . . . . . . . . . . l) Sicherstellung regelmäßiger Aktualisierung . . . . . IV.
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
II.
Ausgestaltung
. . . . . . . . . . . . . . . . . . . . .
52
1. Erscheinungsformen . . . . . . . . . . . . . . . . . . . . 2. Typische Regelungen . . . . . . . . . . . . . . . . . . . .
52 55
Einführung eines „Code of Conduct“ . . . . . . . . . . . . .
57
1. Individualvertragliche Umsetzung . a) Weisungsrecht des Arbeitgebers. b) Vertragliche Vereinbarung. . . . c) Änderungskündigung . . . . . . 2. Betriebsvereinbarung . . . . . . . .
. . . . .
58 58 60 62 62
Mitbestimmungsrecht des Betriebsrats . . . . . . . . . . . . .
65
3. Kapitel Whistleblowing-Systeme – Aufbau und Management (Möhlenbeck) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
1. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . 2. Gründe für die Einführung eines WhistleblowingSystems 3. Rechtliche Rahmenbedingungen . . . . . . . . . . . . . . a) Internationale Anforderungen . . . . . . . . . . . . . aa) Sarbanes Oxley Act (SOX) . . . . . . . . . . . . . bb) Dodd-Frank Act . . . . . . . . . . . . . . . . . . cc) UK Bribery Act (UKBA) . . . . . . . . . . . . . . dd) OECDÜbereinkommen vom 17.12.1997. . . . . . b) Rechtslage in Deutschland. . . . . . . . . . . . . . . . aa) Gesellschaftsrechtliche Vorgaben . . . . . . . . . bb) Ordnungswidrigkeitenrechtliche Vorgaben. . . . .
70 71 72 72 72 73 74 74 75 75 75
III.
IV.
I.
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
XVII
Inhaltsverzeichnis
II.
III.
cc) Vorgaben des Deutschen Corporate Governance Kodex . . . . . . . . . . . . . . . . . dd) Vorgaben aus der Rechtsprechung . . . . . . . . .
76 76
Überblick über die mögliche Ausgestaltung von Hinweismanagementsystemen . . . . . . . . . . . . . . . . .
77
1. Externes Whistleblowing . . . . . . . . . . . . . . . . . . 2. Internes Whistleblowing . . . . . . . . . . . . . . . . . . 3. Mögliche Begrenzungen (Hinweisgeber, Empfänger, Themen) . . . . . . . . . . . . . . . . . . . . . . . . . . .
77 77
Aufbau/Einführung eines Hinweismanagementsystems . . . .
78
1. Rechtliche Anforderungen . . . . . . . . . . . . . . . . . a) Rechtslage in Deutschland. . . . . . . . . . . . . . . . b) Vorgaben auf europäischer Ebene . . . . . . . . . . . c) Regelungen in den USA und Großbritannien . . . . . . aa) USA . . . . . . . . . . . . . . . . . . . . . . . . bb) Großbritannien . . . . . . . . . . . . . . . . . . . 2. Datenschutzrechtliche Anforderungen . . . . . . . . . . . a) Anforderungen des Bundesdatenschutzgesetzes . . . . b) Empfehlungen der AdhocArbeitsgruppe „Beschäftigten datenschutz“ des Düsseldorfer Kreises . . . . . . . . . . 3. Entscheidungen hinsichtlich der konkreten Ausgestaltung . a) Organisation . . . . . . . . . . . . . . . . . . . . . . . b) Ausgestaltungsmöglichkeiten . . . . . . . . . . . . . . aa) Kreis der Hinweisgeber . . . . . . . . . . . . . . . bb) Eingangskanäle . . . . . . . . . . . . . . . . . . . cc) Arten der meldbaren Verstöße . . . . . . . . . . . dd) Regelungen zur Einführung eines Hinweismanagementsystems . . . . . . . . . . . . 4. Kommunikation . . . . . . . . . . . . . . . . . . . . . . .
78 78 79 81 81 81 81 82
78
82 83 83 84 84 85 87 87 88
Die praktische Arbeit mit einem WhistleblowingSystem . . .
89
1. Schutz des Hinweisgebers vor Nachteilen . . . . . . . . . 2. Schutz des Betroffenen . . . . . . . . . . . . . . . . . . . 3. Datenschutzkonformer Umgang mit eingegangenen Hinweisen . . . . . . . . . . . . . . . . . . . . . . . . .
89 90 90
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
4. Kapitel Kommunikationsmanagement und Schulungen (Hastenrath) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
IV.
V.
I.
Einleitung
. . . . . . . . . . . . . . . . . . . . . . . . . . .
93
II.
Grundzüge zur Kommunikation in der Unternehmenspraxis. .
94
XVIII
Inhaltsverzeichnis
1. Relevanz der Kommunikation im Unternehmen und bei Compliance . . . . . . . . . . . . . . . . . . . . . . . . 2. Kommunikationsmodelle . . . . . . . . . . . . . . . . . a) Modell zu Konfliktarten als Grundlage für die Kommunikation . . . . . . . . . . . . . . . . . . . . b) Praxisrelevantes Beispiel . . . . . . . . . . . . . . . III.
IV.
V.
. .
94 96
. .
96 99
Ausgewählte Instrumente der ComplianceKommunikation. .
102
1. Tone-From-The-Top . . . . . . . . . . . . . . . . . 2. Persönlicher Kontakt mit dem Compliance Officer 3. Zusammenarbeit des Compliance Officers mit Schlüsselfunktionen im Unternehmen . . . . . . . 4. Schriftliche Informationen an die Mitarbeiter . . . 5. Compliance im firmeneigenen Intranet . . . . . . .
. . . . . . . .
102 102
. . . . . . . . . . . .
103 103 104
Schulungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
1. 2. 3. 4.
. . .
105 106 107
.
119
Die „Top 5 Stolpersteine“ in der Compliance Kommunikation und Lösungsvorschläge . . . . . . . . . . .
121
Persönliche Schulungen durch die Compliance-Funktion Schulungen mit klassischem ELearning . . . . . . . . . Schulungen mit Webinaren . . . . . . . . . . . . . . . . Unterstützung dezentraler ComplianceFunktionen: das Schulungshandbuch . . . . . . . . . . . . . . . . . . . .
1. Fehlende, verspätete oder missverständliche Information . a) Problemstellung . . . . . . . . . . . . . . . . . . . . . b) Lösungsvorschlag . . . . . . . . . . . . . . . . . . . . 2. Mangelnde Authentizität („Nicht gelebte Hochglanzaussagen“) . . . . . . . . . . . . . . . . . . . . a) Problemstellung . . . . . . . . . . . . . . . . . . . . . b) Lösungsvorschlag . . . . . . . . . . . . . . . . . . . . 3. Fehler im Kommunikationsmanagement: Budget und Ressourcenmangel . . . . . . . . . . . . . . . . . . . . . a) Problemstellung . . . . . . . . . . . . . . . . . . . . . aa) Unzureichende Übersetzung eines Code of Conduct (CoC) . . . . . . . . . . . . . . . . . . . bb) Unzureichendes Schulungsbudget . . . . . . . . . b) Lösungsvorschlag . . . . . . . . . . . . . . . . . . . . 4. Probleme mit der Technik . . . . . . . . . . . . . . . . . a) Problemstellung . . . . . . . . . . . . . . . . . . . . . b) Lösungsvorschlag . . . . . . . . . . . . . . . . . . . .
121 121 122 123 123 123 124 124 125 126 127 128 128 128 XIX
Inhaltsverzeichnis
VI.
5. Fehler im Kommunikationsmanagement von Compliance aufgrund von Kulturunterschieden . . . . . . . . . . . . . a) Problemstellung . . . . . . . . . . . . . . . . . . . . . b) Lösungsvorschlag . . . . . . . . . . . . . . . . . . . . Fazit zur ComplianceKommunikation . . . . . . . . . . . .
5. Kapitel Integration des Compliance-Managements in den betrieblichen Steuerungsprozess – Beispiel Immobilienmanagement (Muth) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Compliance Management in der ProzessPerspektive („Prozessmodell Compliance“) . . . . . . . . . . . . . . . . . 1. Der Prozess für Aufbau und Implementierung eines CMS. 2. Besondere Compliance-Prozesse . . . . . . . . . . . . . . 3. Compliance in Fachprozessen – Verankerung in branchenspezifischen Abläufen . . . . . . . . . . . . . . . 4. Der Steuerungsprozess Compliance . . . . . . . . . . . . 5. Die Integration der Prozesse . . . . . . . . . . . . . . . . a) Prozesslandkarte Compliance . . . . . . . . . . . . . . b) Das Prozessmodell Compliance – verdichtet . . . . . . c) Die Zusammenführung des CMS-Prozesses mit dem Prozessmodell des Unternehmens . . . . . . . . . . . . III. Die Integration von Compliance am Beispiel eines Geschäftsmodelles „Immobilienmanagement“. . . . . . . . . IV. Steigerung der ComplianceReife des Unternehmens durch messbare Zielvereinbarungen . . . . . . . . . . . . . . . . . . 1. Verankerung von risiko-zentrierten Compliance-Kontrollen in Arbeitsabläufen . . . . . . . . . . . . . . . . . . . . . 2. Messen der ordnungsgemäßen Anwendung der implementierten Compliance-Absicherungen . . . . . . . 3. Festlegen messbarer ComplianceZiele als Maßstab für die Compliance-Reife des Unternehmens. . . . . . . . . . V. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
130 130 131 132
135 135 136 137 139 140 142 143 143 143 144 145 147 147 151 152 154
6. Kapitel Auswirkungen des ISO-Standards 19600 auf die Prüfung von Compliance-Management-Systemen nach IDW PS 980 (Withus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 II. Zielsetzung und Zielgruppe . . . . . . . . . . . . . . . . . . 158 1. Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . 2. Zielsetzung des IDW PS 980 . . . . . . . . . . . . . . . . XX
158 158
Inhaltsverzeichnis
III.
IV.
3. Zielsetzung des ISO 19600:2014 . . . . . . . . . . . . . . 4. Vergleich . . . . . . . . . . . . . . . . . . . . . . . . . .
159 159
Unterschiedliche Regelungstiefe zur Ausgestaltung des CMS . .
159
1. CMSbezogene Regelungsinhalte des IDW PS 980 . . . . 2. Regelungsinhalte des ISO 19600:2014 . . . . . . . . . . .
159 160
ISO 19600 als geeignetes, angemessenes Rahmenkonzept für ein CMS. . . . . . . . . . . . . . . . . . . . . . . . . . .
163
V. VI.
1. Anforderungen des IDW PS 980 an ein Rahmenkonzept . 2. Vergleich ISO 19600 Guidelines mit IDW PS 980Grundelementen . . . . . . . . . . . . . . Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . Argumente für eine Ausrichtung des CMS nach ISO 19600 .
.
163
. . .
165 167 167
VII.
1. Basis für Ermessensentscheidung und Compliance-Richtlinie . . . . . . . . . . . . . . . . . . . 2. Beurteilung der angemessenen Einrichtung eines wirksamen CMS . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . .
167 169 171
Teil 2 Übergreifende Herausforderungen 7. Kapitel Risikomanagement – Einführung und methodischer Überblick (J. Becker) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundzüge des unternehmerischen Risikomanagements. . . .
173 174
I. II.
1. Das Risikomanagement als unternehmerisches Steuerungsinstrument . . . . . . . . . . . . . . . 2. Ansätze zur Risikosystematisierung . . . . . . . a) Finanzwirtschaftliche Risiken . . . . . . . . aa) Marktpreisrisiken . . . . . . . . . . . . . bb) Ausfallrisiken . . . . . . . . . . . . . . . cc) Liquiditätsrisiken . . . . . . . . . . . . . b) Leistungswirtschaftliche Risiken: Die Leistungserstellung eines Unternehmens unterliegt ebenfalls zahlreichen Risiken. . . . aa) Operative Risiken. . . . . . . . . . . . . bb) Absatzrisiken . . . . . . . . . . . . . . . 3. Der Risikomanagementprozess . . . . . . . . . . a) „Bottom upVerfahren“ . . . . . . . . . . . .
. . . . . .
. . . . .
. . . . . . . . . . . . . . . . . . .
174 178 178 178 179 179
. . . . .
. . . .
. . . . . . . . . . . . . . . .
180 180 181 181 183 XXI
Inhaltsverzeichnis
III.
IV.
V. VI.
b) „Top downVerfahren“ . . . . . . . . . . . . Risikoidentifikation. . . . . . . . . . . . . . . . . 1. Verfahren zur Erstellung eines Risikokatalogs . 2. Prognose- und Früherkennungssysteme . . . . Risikoquantifizierung . . . . . . . . . . . . . . . . 1. Beispiel Bottom up-Verfahren . . . . . . . . . 2. Top down-Verfahren . . . . . . . . . . . . . . . Herausforderungen des Risikomanagements . . . . Fazit Risikomanagement . . . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
8. Kapitel Governance, Risk und Compliance Management – Zusammenhänge und Abhängigkeiten (Bartuschka) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Einleitung – Die Notwendigkeit der Einrichtung von Instrumenten zur Überwachung von Unternehmen . . . . . . II. Das System der Unternehmensüberwachung . . . . . . . . . . 1. Überblick über das Gesamtsystem . . . . . . . . . . . . . 2. Externe Komponenten der Unternehmensüberwachung . . 3. Interne Komponenten der Unternehmensüberwachung . . III. Die Verknüpfung der einzelnen Elemente der Unternehmensüberwachung . . . . . . . . . . . . . . . . . . 1. Der GRC-Ansatz . . . . . . . . . . . . . . . . . . . . . 2. Das interne Kontrollsystem und die anderen Elemente der Überwachung des Unternehmens . . . . . . . . . . . . 3. Compliance und Risikomanagement. . . . . . . . . . . . 4. Risikomanagement und Controlling . . . . . . . . . . . . 5. Interne Revision, Compliance und Risikomanagement. . . 6. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Grundkonzept für die Ausgestaltung eines integrierten Systems der Überwachung für mittelständisch geprägte Unternehmen . 1. Bestimmung der Zielgruppe der Unternehmen . . . . . . . 2. Zielstellung für die Einführung eines integrierten Systems der Überwachung . . . . . . . . . . . . . . . . . . . . . . 3. Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . a) Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . b) Analyse bestehender Strukturen. . . . . . . . . . . . . c) Ermittlung des Anpassungsbedarfs . . . . . . . . . . . d) Umsetzung . . . . . . . . . . . . . . . . . . . . . . . 4. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII
183 185 185 187 189 190 192 194 196
197 197 200 200 200 202 203 203 204 206 206 207 208 208 208 209 209 209 211 211 211 213
Inhaltsverzeichnis
9. Kapitel Risikomanagement und Compliance bei der Nutzung von Finanz- und Kapitalmarktprodukten (Kessler) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. II.
III.
IV.
V.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . Finanz und Kapitalmarktprodukte; Risiken . . . . . . . . . 1. „Einfache“ Produkte . . . . . . . . . . . . . . . . . . . 2. „Komplexe“ Produkte . . . . . . . . . . . . . . . . . . . a) Überblick . . . . . . . . . . . . . . . . . . . . . . . b) Risiken im Einzelnen . . . . . . . . . . . . . . . . . Rechtliche Anforderungen an das Risikomanagement und Compliance-System . . . . . . . . . . . . . . . . . . . . . 1. Anforderungen an Finanzinstitute . . . . . . . . . . . . a) Aufsichtsrechtliche Anforderungen . . . . . . . . . . b) „Best Practice“ und praktische Ausgestaltung . . . . aa) Risikomanagement . . . . . . . . . . . . . . . . (1) Risikomanagementstrategie . . . . . . . . . (2) Risikotragfähigkeitskonzept . . . . . . . . . (3) Interne Kontrollverfahren . . . . . . . . . . (4) Personelle und technische Ausstattung . . . (5) Notfallkonzept . . . . . . . . . . . . . . . . (6) Nachhaltiges Vergütungssystem . . . . . . . bb) Compliance . . . . . . . . . . . . . . . . . . . . (1) MaRisk BA-Compliance . . . . . . . . . . . (2) MaComp-Compliance . . . . . . . . . . . . 2. Anforderungen an Unternehmen . . . . . . . . . . . . . a) Normativer Rahmen und Übertragbarkeit. . . . . . . b) Grenzen . . . . . . . . . . . . . . . . . . . . . . . . Ausgestaltung des Risikomanagement und Compliance-Systems im Unternehmensbereich . . . . . . . 1. Finanzproduktbezogenes Risikomanagement und Compliance – Überblick . . . . . . . . . . . . . . . . . 2. Die Ausgestaltung der wichtigsten ICRMKomponenten im Einzelnen . . . . . . . . . . . . . . . . . . . . . . . a) Rechtliche Einzelfallprüfung: CovenantTool . . . . . b) Kreditrisiko-Tool . . . . . . . . . . . . . . . . . . . c) Marktrisiko-Tool. . . . . . . . . . . . . . . . . . . . d) LiquiditätsrisikoTool . . . . . . . . . . . . . . . . . 3. Delegation des Risikomanagements und Compliance . . Haftungsfragen . . . . . . . . . . . . . . . . . . . . . . . .
215
. . . . . .
215 216 216 217 217 220
. . . . . . . . . . . . . . . . .
222 222 222 224 224 225 225 226 226 226 226 227 227 228 229 229 231
.
231
.
231
. . . . . . .
234 234 235 236 237 238 240
1. Verstoß gegen die Pflicht zum Risikomanagement . . . . .
240 XXIII
Inhaltsverzeichnis
2. Verstoß gegen die Pflicht zur Compliance . . . . . . . . . Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
241 242
10. Kapitel Die Compliance-Funktion in einem Kreditinstitut (Renz/Frankenberger) . . . . . . . . . . . . . . . . . . . . . . . . .
243
Einführung: Was ist Compliance? . . . . . . . . . . . . . . . . .
243
Welche ComplianceFunktionen gibt es in einem Kreditinstitut?. . . . . . . . . . . . . . . . . . . . . . . . . .
244
VI.
I. II.
. .
245
. . . . . . .
. . . . . . .
246 249 251 252 254 255 258
. . . . .
. . . . .
259 259 260 261 262
. . . . . . . . . . . .
267 269
11. Kapitel Compliance als Schnittstellenaufgabe – Überlegungen und Anregungen zur erfolgreichen Zusammenarbeit mit anderen Unternehmensfunktionen (Rau). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
271
III. IV. V.
VI. VII. VIII.
I. II.
XXIV
1. Kapitalmarkt-Compliance . . . . . . . . . . . . . . . 2. Zentrale Stelle/sonstige strafbare Handlungen (inkl. Geldwäscheprävention) . . . . . . . . . . . . . . 3. MaRiskCompliance . . . . . . . . . . . . . . . . . . 4. Hinweisgebersystem (Whistleblowing) . . . . . . . . 5. Datenschutz . . . . . . . . . . . . . . . . . . . . . . . Inhalt und Aufgabe einer modernen ComplianceFunktion Das ComplianceManagementSystem (CMS) . . . . . . . Schnittstellen zu anderen Funktionen . . . . . . . . . . . 1. Fach- und Marktbereiche . . . . . . . . . . . . 2. Rechtsabteilung . . . . . . . . . . . . . . . . 3. RisikocontrollingFunktion . . . . . . . . . . . 4. Interne Revision . . . . . . . . . . . . . . . . Compliance als Teil des IKS eines Kreditinstituts . Übertragung der Struktur/des Ansatzes auf andere Industriesäulen – und umgekehrt . . . . . . . . . . Fazit/Ausblick . . . . . . . . . . . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unternehmensfunktionen und ihre Interaktion im Sinne der Compliance . . . . . . . . . . . . . . . . . . . . .
272
1. 2. 3. 4. 5.
273 277 279 282 284
Geschäftsleitung. . Aufsichtsrat . . . . Rechtsabteilung . . Personalabteilung . Betriebsrat . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
271
Inhaltsverzeichnis
6. Finanzfunktion . . . . . . . . 7. Innenrevision . . . . . . . . . 8. Wirtschaftsprüfer . . . . . . . 9. Unternehmenskommunikation 10. Andere. . . . . . . . . . . . .
. . . . .
286 287 288 290 292
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
293
12. Kapitel Compliance im Kontext nachhaltigen Supply Chain-Managements (Schleper/Förstl) . . . . . . . . . . . . . . . . . . . . . . . . . . .
297
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . .
297
II.
Nachhaltiges Lieferantenmanagement . . . . . . . . . . . . .
298
1. 2. 3. 4.
. . . .
299 300 300 301
III.
Unterschiede entlang der Supply Chain . . . . . . . . . . . .
302
IV.
Konfliktmineralien und Due Diligence – „beyond compliance“ . . . . . . . . . . . . . . . . . . . . . .
304
V.
Praxisrelevanz . . . . . . . . . . . . . . . . . . . . . . . . .
306
VI.
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
308
13. Kapitel Management Interner Untersuchungen (Wettner/Walter) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
309
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . .
309
II.
Entscheidung über die Durchführung Interner Untersuchungen . . . . . . . . . . . . . . . . . . . . . . . .
310
1. Entscheidungsbefugte Stellen . . . . . . . . . . . 2. Pflicht zur Aufklärung konkreter Verdachtsfälle . 3. Interne Untersuchung oder externe Ermittlung? . a) Bereits laufendes behördliches Verfahren . . . b) (Noch) kein behördliches Verfahren . . . . .
. . . . .
310 311 312 312 313
Vornahme von Eilmaßnahmen . . . . . . . . . . . . . . . . .
314
III.
III.
1. 2. 3. 4.
Lieferantenbewertung . Lieferantenentwicklung . Lieferantenauswahl . . . Lieferantenmonitoring .
. . . .
. . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
. . . .
. . . . .
Einrichtung einer zentralen Koordinierungsstelle . Maßnahmen der Daten- und Beweissicherung . . . Arbeitsrechtliche Maßnahmen . . . . . . . . . . . Beachtung von Informations und Berichtspflichten
. . . . .
. . . .
. . . . . . . . .
. . . . .
. . . .
. . . . . . . . .
. . . . .
. . . .
. . . . . . . . .
. . . .
314 315 315 316 XXV
Inhaltsverzeichnis
IV.
Planung der internen Untersuchung . . . . . . . . . . . . . .
317
1. Grundlagen der Planung . . . . . . . . . . . . . . . . . . a) Beachtung von Recht- und Verhältnismäßigkeit. . . . . b) Beachtung von Risiken und Folgen der internen Untersuchung . . . . . . . . . . . . . . . . . . . . . . 2. Festlegung des Untersuchungsgegenstands . . . . . . . . . 3. Bestimmung des Untersuchungsteams und der Verantwortlichkeiten . . . . . . . . . . . . . . . . . . . . a) Auswahl von Mitarbeitern und externen Beratern . . . b) Festlegung von Verantwortlichkeiten und Berichtswegen 4. Bestimmung und Vorbereitung der Informationsquellen . . a) Relevante Informationsquellen . . . . . . . . . . . . . aa) Dokumente . . . . . . . . . . . . . . . . . . . . . bb) Elektronische Daten und EMails . . . . . . . . . cc) (Ehemalige) Mitarbeiter . . . . . . . . . . . . . . b) Notwendige Abstimmung der geplanten Untersuchungsmaßnahmen . . . . . . . . . . . . . . . aa) Beteiligung von Betriebsrat oder Sprecherausschuss . . . . . . . . . . . . . . . . . bb) Abstimmung mit Ermittlungs und Aufsichtsbehörden . . . . . . . . . . . . . . . . . c) Einrichtung eines Datenraums oder eines „Projektportals“ . . . . . . . . . . . . . . . . . . . . . 5. Sicherung der Vertraulichkeit . . . . . . . . . . . . . . . a) Zugriffsmöglichkeiten Dritter . . . . . . . . . . . . . aa) Beschlagnahme durch Ermittlungsbehörden . . . . bb) Herausgabe von Unterlagen an Versicherer. . . . . b) Begrenzung der EMail und sonstigen schriftlichen Kommunikation . . . . . . . . . . . . . . . . . . . . . c) Kennzeichnung und Aufbewahrung geschützter Kommunikation . . . . . . . . . . . . . . . . . . . . . 6. Erstellen eines Untersuchungsplans. . . . . . . . . . . . .
317 317
V. Durchführung der internen Untersuchung . . . . . . . . . . . . . 1. 2. 3. 4. 5. 6. VI. XXVI
Allgemeine Untersuchungsgrundsätze . . . . . . . . Dokumentation der Untersuchung . . . . . . . . . . Erhebung und Auswertung von Dokumenten. . . . . Erhebung und Auswertung von elektronischen Daten Befragung von Mitarbeitern . . . . . . . . . . . . . Auswertung und Aufarbeitung der Untersuchungsergebnisse . . . . . . . . . . . . . . . . . . . . . . .
. . . . .
. . . . .
318 319 320 320 321 322 322 322 323 323 324 324 324 325 326 326 326 327 328 328 329 330
. . . . .
330 331 331 332 333
. . .
335
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
337
Inhaltsverzeichnis
14. Kapitel CSR und Compliance – Die gesellschaftliche Verantwortung von Unternehmen (Stehr/Struve) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
339
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . .
339
II.
Praktische Grundlagen . . . . . . . . . . . . . . . . . . . . .
340
III.
Theoretische Grundlagen . . . . . . . . . . . . . . . . . . . .
343
IV.
Ein integratives Konzept von CSR . . . . . . . . . . . . . . .
349
V.
CSR und Compliance: Internationales Recht und Soft Law . . . . . . . . . . . . . . . . . . . . . . . . . . . .
352
VI.
CSR und Compliance in der Strategieentwicklung. . . . . . .
355
VII.
Die Zukunft von CSR – „CSR 4.0“. . . . . . . . . . . . . . .
357
15. Kapitel CSR-Compliance: Neue Herausforderungen im Reporting (Beisheim) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
363
I. II.
Einleitung: Corporate Social Responsibility, Corporate Governance und die (mögliche) Rolle von Compliance . . . .
363
Neu: Die „CSRCompliance“ . . . . . . . . . . . . . . . . .
365
1. Zielsetzungen der CSR-Richtlinie und des CSR-RichtlinieUmsetzungsgesetzes . . . . . . . . . . . . . . . . . . . . 2. Neuausrichtung des Nachhaltigkeitsreportings . . . . . . a) Bestehende Berichtspflichten im deutschen Bilanzrecht . . . . . . . . . . . . . . . . . . . . . . . . b) Sog. „Soft LawAnsätze“ . . . . . . . . . . . . . . . . c) Paradigmenwechsel . . . . . . . . . . . . . . . . . . . 3. Adressaten der neuen Berichtspflichten. . . . . . . . . . . a) Der Adressatenkreis im Rahmen der nichtfinanziellen Erklärung und der Berichtsvarianten . . . . . . . . . . b) Die Verpflichteten der Vorgaben zum Diversitätskonzept . . . .. . . . . . . . . . . . . . . . 4. Berichtsanforderungen im Rahmen der nichtfinanziellen Erklärung und des gesonderten Berichts . . . . . . . . . . a) Inhalte, Relevanzmaßstab und Methodik der nichtfinanziellen Erklärung . . . . . . . . . . . . . . . b) Muster: Struktur und Ansätze zur Gestaltung einer nichtfinanziellen Erklärung . . . . . . . . . . . . . . . c) Vorgehensalternativen: Der gesonderte nichtfinanzielle Bericht und die Verwendung von Rahmenwerken. . . . 5. Ein Spezifikum: Das Diversitätskonzept . . . . . . . . . .
366 367 367 369 370 371 371 374 375 375 380 384 386
XXVII
Inhaltsverzeichnis
6. Nichtangaben, unrichtige Angaben und ihre Folgen . a) Der Grundsatz: „Comply or Explain“ . . . . . . . b) Ein Sonderfall: Das (vorübergehende) Weglassen nachteiliger Angaben . . . . . . . . . . . . . . . c) Prüfungen . . . . . . . . . . . . . . . . . . d) Verstöße, Säumnisse und Sanktionen . . . . . . . III.
Fazit und Ausblick
. . . . . .
386 387
. . . . . . . . .
388 388 390
. . . . . . . . . . . . . . . . . . . . .
391
Teil 3 Besondere Anwendungsfelder 16. Kapitel Compliance in M&A-Transaktionen (Ullrich) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
393
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
393
II.
Prozessuale M&ACompliance – Einhaltung von Rechtsvorschriften im M&A-Verfahren . . . . . . . . . . . .
394
1. Strukturierung der Transaktion . . . . . . . . . . . . . . . 394 2. Offenlegung von Informationen . . . . . . . . . . . . . . 395 a) Offenlegungs und Aufklärungspflichten des Veräußerers . . . . . . . . . . . . . . . . . . . . . . . 395 b) Rechtliche Grenzen der Offenlegung von Informationen . . . . . . . . . . . . . . . . . . . . . 397 aa) Gesellschaftsrechtliche Zulässigkeit der Offenlegung von Informationen gegenüber Dritten . . . . . . . 397 bb) Vertraulichkeitsbestimmungen in Verträgen mit Dritten . . . . . . . . . . . . . . . . . . . . . . . 399 cc) Datenschutzrechtliche Anforderungen für die Offenlegung von personenbezogenen Daten . . . . 400 3. Kartellrechtliche M&ACompliance – Vollzugsverbot und Informationsaustausch . . . . . . . . . . . . . . . . . . . 401 a) Anmeldepflicht und Vollzugsverbot . . . . . . . . . . . 401 b) Informationsaustausch . . . . . . . . . . . . . . . . . . 404 4. Kapitalmarktrechtliche M&ACompliance . . . . . . . . . 407 a) Informationsweitergabe im Rahmen der Due Diligence . . . . . . . . . . . . . . . . . . . . . 407 b) AdhocPflicht . . . . . . . . . . . . . . . . . . . . . 407 c) Übernahmerechtliche M&A-Compliance . . . . . . . . 409 5. Pflicht zur Durchführung einer rechtlichen Due Diligence 409 a) Regelfall . . . . . . . . . . . . . . . . . . . . . . . . . 409 b) Besonders gelagerte Fälle . . . . . . . . . . . . . . . . 410 c) In besonders gelagerten Fällen Due Diligence nach Vollzug erforderlich . . . . . . . . . . . . . . . . . . . 413 6. (Abbruch der) Vertragsverhandlungen . . . . . . . . . . . 413 XXVIII
Inhaltsverzeichnis
7. Zustimmungserfordernisse . . . . . . . . . . . . . . . . . a) Zustimmung von Aufsichtsgremien und/oder der Gesellschafter . . . . . . . . . . . . . . . . . . . . . b) Zustimmung von Ehegatten oder Lebenspartnern . . . 8. Vereinbarung von Wettbewerbsverboten im Unternehmenskaufvertrag . . . . . . . . . . . . . . . . . . . . . . . . . III.
Materielle M&ACompliance – Prüfung von/Umgang mit Compliance in der Zielgesellschaft. . . . . . . . . . . . .
415 415 417 418 419
1. Due Diligence . . . . . . . . . . . . . . . . . . . . . . . . a) Erfordernis einer ComplianceDue Diligence. . . . . . aa) Einführung . . . . . . . . . . . . . . . . . . . . . bb) Erfordernis der Durchführung einer Compliance Due Diligence. . . . . . . . . . . . . . . . . . . . cc) (Eigen)Interesse der Geschäftsleitung (Business Judgement Rule) . . . . . . . . . . . . . . . . . . dd) Normative Kraft des Faktischen . . . . . . . . . . b) Vorgehensweise: Abgestufte, risikobasierte Compliance-Due Diligence . . . . . . . . . . . . . . . . aa) Rechtlicher Rahmen . . . . . . . . . . . . . . . . bb) Ermittlung des Risikoprofils der Zielgesellschaft . cc) Risikobewertung und Dokumentation . . . . . . . dd) Eigentliche Due Diligence . . . . . . . . . . . . . c) Due Diligence nach Vollzug. . . . . . . . . . . . . . . 2. Umgang mit bekannten/bekanntgewordenen Compliance-Verstößen/-Risiken . . . . . . . . . . . . . . a) Risikobewertung. . . . . . . . . . . . . . . . . . . . . b) Umgang mit bekannten/entdeckten Compliance-Risiken . . . . . . . . . . . . . . . . . . .
419 419 419 420 422 422 423 423 424 425 425 425 426 426 427
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . .
430
17. Kapitel Bedeutung und Funktion des Aufsichtsrats beim Compliance-Management (Leupolt) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
433
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . .
433
II.
Funktionstrennung, Überwachungsmaßstab und Instrumentarien der Überwachung . . . . . . . . . . . . . . . . . . . . . . . 433
IV.
1. Funktionstrennung und Überwachungsmaßstab 2. Instrumentarien der Überwachung . . . . . . . a) Prüfungsausschuss. . . . . . . . . . . . . . b) Erlangung von Informationen . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
433 434 434 435 XXIX
Inhaltsverzeichnis
aa) Berichterstattung und Befragung des Vorstands . . bb) Befragung von Mitarbeitern und ComplianceVerantwortlichen . . . . . . . . . . . . . . . . . . c) Compliance-Überwachung nach dem Prüfungsstandard IDW EPS 980 . . . . . . . . . . . . . . . . . . . . .
438
III.
Die Rolle des Aufsichtsrats bei der Einführung eines Compliance-Management-Systems (CMS) . . . . . . . . . . .
438
IV.
Die laufende Überwachung des Aufsichtsrats von bestehenden Compliance-Management-Systemen (CMS) . . . . . . . . . .
440
1. Überwachung der laufenden Compliance. . . . . . . . . . 2. Überwachung bei erheblichen Compliance-Verstößen . . .
440 441
Der Aufsichtsrat bei der Aufklärung von Compliance-Verstößen . . . . . . . . . . . . . . . . . . . . .
442
V.
435 437
1. Überwachung der Aufklärung des Vorstands . . . . . . . 2. Eigene Aufklärungszuständigkeit des Aufsichtsrats bei Fehlverstößen des Vorstands . . . . . . . . . . . . . . . .
442
VI.
ComplianceReporting des Aufsichtsrats . . . . . . . . . . .
444
VII.
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
445
18. Kapitel Compliance Management und Strafrecht (Böttger). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
447
I.
Einführung in die Criminal Compliance . . . . . . . . . . . .
447
II.
Strafrechtliche Grundlagen der ComplianceVerpflichtung . .
454
III.
Typische strafrechtliche ComplianceRisiken . . . . . . . . .
458
1. Korruption . . . . . . . . . . . . . . . . . . . . . . a) Vorteilsgewährung (§ 333 StGB) . . . . . . . . . b) Bestechung (§ 334 StGB) . . . . . . . . . . . . . c) Bestechung von Mandatsträgern (§ 108e StGB). . d) Bestechung im geschäftlichen Verkehr (§ 299 Abs. 2 StGB) . . . . . . . . . . . . . . . . e) Bestechlichkeit im geschäftlichen Verkehr (§ 299 Abs. 1 StGB) . . . . . . . . . . . . . . . . f) Bestechung im Gesundheitswesen (§ 299b StGB). g) Auslandskorruption . . . . . . . . . . . . . . . . h) Korruptionsdelikte im weiteren Sinne. . . . . . . 2. Untreue (§ 266 StGB) . . . . . . . . . . . . . . . . . a) Generierung von Bestechungsgeld . . . . . . . . b) Zahlung von Bestechungsgeld . . . . . . . . . . .
. . . .
460 464 471 473
. . .
476
. . . . . . .
481 481 483 488 490 490 492
XXX
. . . .
. . . .
. . . . . . .
. . . . . . .
443
Inhaltsverzeichnis
IV.
3. Steuerverkürzung (§§ 370 ff. AO). . . . . . . . . . . . . .
493
Strafrechtliche Risiken der NonCompliance für die Verantwortlichen des Unternehmens . . . . . . . . . . . . . .
497
1. Originäre strafrechtliche Verantwortlichkeit . . . . . . a) Verantwortlichkeit der Geschäftsleitung . . . . . . b) Gremienentscheidungen . . . . . . . . . . . . . . . c) Delegation von Verantwortungsbereichen . . . . . . d) Verantwortlichkeit des Compliance Officers . . . . e) Aufsichtsrat . . . . . . . . . . . . . . . . . . . . . 2. Innerbetriebliche Anweisungen/Täterschaft kraft Organisationsherrschaft. . . . . . . . . . . . . . . . . 3. Fahrlässigkeitshaftung (sog. Organisationsverschulden) 4. Verletzung der Aufsichtspflicht in Betrieben und Unternehmen (§ 130 OWiG) . . . . . . . . . . . . . . V.
. . . . . .
. . . . . .
497 498 499 500 502 504
. . . .
506 507
. .
508
Strafrechtliche Risiken der Non-Compliance für das Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . .
512
1. (Unternehmens-)Strafrecht . . . . . . . . . . . . . . . . a) Überblick . . . . . . . . . . . . . . . . . . . . . . . b) Verfall und Einziehung . . . . . . . . . . . . . . . . c) Das Unternehmen als Nebenbeteiligter im Strafverfahren . . . . . . . . . . . . . . . . . . . . 2. Ordnungswidrigkeitenrecht . . . . . . . . . . . . . . . . a) Unternehmensgeldbuße gem. § 30 OWiG . . . . . . . b) Das Unternehmen als Nebenbeteiligter im Verfahren wegen § 30 OWiG . . . . . . . . . . . . . . . . . . . c) Verfall (§ 29a OWiG) . . . . . . . . . . . . . . . . . VI.
VII.
. . .
512 512 512
. . .
514 514 514
. .
517 517
Sonstige Risiken für das Unternehmen und seine . . . . . . . Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . .
518
1. Blacklisting und Vergabesperren . . . . . . . a) Registereintragungen . . . . . . . . . . . aa) Bundeszentralregister . . . . . . . . . bb) Gewerbezentralregister . . . . . . . . cc) Vergabe- bzw. Korruptionsregister . . dd) Sonstige Register . . . . . . . . . . . b) Vergaberechtliche Konsequenzen . . . . . 2. Inhabilität (§§ 70 StGB, 6 GmbHG, 76 AktG) 3. Aufsichtsrechtliche Konsequenzen . . . . . .
. . . . . . . . .
518 518 518 518 519 521 521 523 525
Strafrechtliche Risiken innerhalb des Compliance Prozesses („failed compliance“) . . . . . . . . . . . . . . . .
526
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
XXXI
Inhaltsverzeichnis
19. Kapitel Das Organisationsrisiko der „kriminogenen Verbandsattitüde“ (Rack) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.
531
Nützliche Rechtsverstöße zum Vorteil des Unternehmens und zum Nachteil des Mitarbeiters . . . . . . . . . . . . . . . . .
531
II.
Die Theorie der kriminogenen Verbandsattitüde. . . . . . . .
532
III.
Empirische Untersuchungen zur kriminogenen Verbandsattitüde . . . . . . . . . . . . . . . . . . . . . . . .
533
Das MilgramExperiment zur Gehorsamsbereitschaft gegenüber Autorität . . . . . . . . . . . . . . . . . . . . . . .
535
V.
Konsequenzen für die Organisationspflicht der Organe . . . .
536
VI.
Die schon vorhandene kriminelle Attitüde im Unternehmen und die Legalitätspflicht zu ihrer Abwehr . . . . . . . . . . .
537
Die präventive Legalitätspflicht durch Vorstände und Geschäftsführer vor dem Rechtsverstoß . . . . . . . . . . . .
538
Die unternehmensexterne Aufklärung . . . . . . . . . . . . .
539
IX.
Die unternehmensinterne Aufklärung . . . . . . . . . . . . .
540
X.
Die Strafbarkeit von Managern als „Täter hinter dem Täter“ durch Organisationsherrschaft . . . . . . . . . . . . .
541
XI.
Zwischenergebnis. . . . . . . . . . . . . . . . . . . . . . . .
542
XII.
Kriminelles Mitarbeiterverhalten zum Vorteil des Unter nehmens als vorhersehbares Organisationsrisiko. . . . . . . .
543
XIII.
Die Rechtsgutsferne als Ursache kriminogener Wirkung . . .
545
XIV.
Die existentielle Abhängigkeit vom Unternehmen als Ursache kriminogener Wirkungen . . . . . . . . . . . . . . .
546
Der altruistische selbstlose Straftäter als kriminogene Ursache . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
548
Die diffuse Verantwortungslosigkeit durch Arbeitsteilung als kriminogene Ursache und die Vermeidung durch die Delegation von Rechtspflichten . . . . . . . . . . . . . . . .
548
XVII. Blockierte Informationen als Ursache kriminogener Verbandsattitüden . . . . . . . . . . . . . . . . . . . . . . . .
549
XVIII. Die Auskunftspflicht mit Verwertungsverbot als Konfliktlösung . . . . . . . . . . . . . . . . . . . . . . . . .
551
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
553
IV.
VII. VIII.
XV. XVI.
XIX. XXXII
Inhaltsverzeichnis
20. Kapitel Kartellrechts-Compliance (Seeliger/Heinen/Mross) . . . . . . . . . . . . . . . . . . . . . . . .
555
Überblick über die KartellrechtsRisiken . . . . . . . . . . .
555
1. Einführung . . . . . . . . . . . . . . . . . . . . . . 2. Kartellrechts-Risikokategorien . . . . . . . . . . . . a) Das Verbot wettbewerbsbeschränkender Vereinbarungen: Absprachen mit anderen Unternehmen . . . . . . . . . . . . . . . . . . . aa) Vereinbarung, abgestimmtes Verhalten oder Beschluss . . . . . . . . . . . . . . . . . . bb) Bezweckte oder bewirkte Wettbewerbsbeschränkung . . . . . . . . . . . . . . . . . cc) Sehr hohe Risiken. . . . . . . . . . . . . . . (1) „HardcoreKartelle“ . . . . . . . . . . . (2) Ausschreibungen . . . . . . . . . . . . . (3) Informationsaustausch . . . . . . . . . . (4) Verbandsarbeit . . . . . . . . . . . . . . (5) Preisbindungen und Preisempfehlungen . (6) Marktaufteilungen beim Vertrieb . . . . (7) InternetBehinderungen . . . . . . . . . (8) Boykott . . . . . . . . . . . . . . . . . . dd) Weniger hohe Risiken . . . . . . . . . . . . (1) Horizontale Kooperationen . . . . . . . (2) Vertriebsbeschränkungen . . . . . . . . (3) Wettbewerbsverbote (Markenzwang); Alleinbezugsverpflichtungen . . . . . . . b) Machtmissbrauch (einseitige Handlungen) . . . . aa) Allgemeine Voraussetzungen . . . . . . . . . (1) Marktbeherrschende Stellung . . . . . . (2) Missbräuchliche Ausnutzung . . . . . . bb) Sehr hohe Risiken. . . . . . . . . . . . . . . (1) Behinderung/Ausgrenzung von Wettbewerbern . . . . . . . . . . . . . . (2) Kundenbindung, Treuerabatte . . . . . . (3) Squeezeout von Wettbewerbern, Kosten-Preis-Schere . . . . . . . . . . . (4) Kopplung von Angeboten . . . . . . . . cc) Weniger hohe Risiken . . . . . . . . . . . . (1) Ausbeutungsmissbrauch, Kundenpreisdifferenzierung . . . . . . . . . . . . . . (2) Niedrigpreisstrategien . . . . . . . . . .
. . . . . .
555 557
. . .
558
. . .
558
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
559 560 560 561 562 564 565 566 568 570 570 570 572
. . . . . .
. . . . . .
. . . . . .
574 575 575 575 576 577
. . . . . .
577 577
. . . . . . . . .
578 578 578
. . . . . .
578 579
I.
XXXIII
Inhaltsverzeichnis
II.
III.
(3) Lieferverweigerung; wesentliche Einrichtungen („essential facilities“) . . . . . . . . . . . . . (4) Ausschließlichkeitsbindungen . . . . . . . . . (5) Diskriminierung abhängiger Unternehmen . . (6) Behinderung von kleineren Wettbewerbern; Verkauf unter Einstandspreis . . . . . . . . . . 3. Haftungssubjekte (Wer haftet für wen?) . . . . . . . . . . a) Unternehmenshaftung . . . . . . . . . . . . . . . . . . b) Persönliche Haftung . . . . . . . . . . . . . . . . . . . c) Haftung im Konzern („Wirtschaftliche Einheit“) . . . . d) Haftung bei Gemeinschaftsunternehmen . . . . . . . . e) Haftung für Beauftragte . . . . . . . . . . . . . . . . . f) Haftung bei Rechtsnachfolge . . . . . . . . . . . . . . 4. Art und Umfang der Haftung . . . . . . . . . . . . . . . . a) Strafrechtliche Sanktionen . . . . . . . . . . . . . . . b) Bußgelder . . . . . . . . . . . . . . . . . . . . . . . . aa) EURecht . . . . . . . . . . . . . . . . . . . . . . bb) Deutsches Recht . . . . . . . . . . . . . . . . . . c) Schadensersatz . . . . . . . . . . . . . . . . . . . . . aa) Individualansprüche . . . . . . . . . . . . . . . . bb) Kollektiver Rechtsschutz . . . . . . . . . . . . . . cc) Preisschirmeffekte . . . . . . . . . . . . . . . . . dd) Schadensausgleich im Innenverhältnis . . . . . . . d) Sonstige Nachteile . . . . . . . . . . . . . . . . . . . .
581 581 581 582 583 584 584 585 586 586 587 588 589 590 590 592 592 592 593
Management der Kartellrechtsrisiken in der Praxis . . . . . .
593
1. Risikoanalyse: Identifizierung und Bewertung . . . . a) Kartellrechtliches Risikoprofil . . . . . . . . . . b) Geschäftstätigkeit und Geschäftsbeziehungen . . c) Risikokategorisierung und Risikobewertung . . . d) Einführung eines „Top downAnsatzes“ . . . . . 2. Präventive Maßnahmen . . . . . . . . . . . . . . . . a) Richt- und Leitlinien zum Kartellrecht . . . . . . b) Schulungen (Präsenzschulungen und ELearning) 3. Maßnahmen zur Kontrolle/Aufdeckung . . . . . . .
. . . . . . . . .
594 594 594 595 596 596 597 599 601
Behördliche Untersuchungen . . . . . . . . . . . . . . . . . .
602
1. Durchsuchungen der EUKommission a) Zuständigkeit . . . . . . . . . . . b) Befugnisse . . . . . . . . . . . . . c) Elektronische Durchsuchung . . . d) Typischer Ablauf. . . . . . . . . . XXXIV
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . .
579 580 580
603 603 604 605 606
Inhaltsverzeichnis
2. Durchsuchungen des Bundeskartellamts a) Zuständigkeit . . . . . . . . . . . . b) Befugnisse . . . . . . . . . . . . . . c) Elektronische Durchsuchung . . . . d) Typischer Ablauf. . . . . . . . . . . 3. Verhaltensregeln für die Unternehmen . a) Vor der Durchsuchung . . . . . . . . b) Während der Durchsuchung . . . . . c) Nach der Durchsuchung . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
608 608 608 609 610 611 611 612 613
21. Kapitel Datenschutz im Compliance-Management (Becker/Böhlke/Fladung) . . . . . . . . . . . . . . . . . . . . . . . I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der konzeptionelle Schutz personenbezogener Daten . . . . 1. Gesetzliche Grundlagen. . . . . . . . . . . . . . . . . . a) Bundesdatenschutzgesetz . . . . . . . . . . . . . . . b) Landesdatenschutzgesetze . . . . . . . . . . . . . . . c) Datenschutzgrundverordnung . . . . . . . . . . . . . d) Europäische Richtlinien . . . . . . . . . . . . . . . . e) Weitere Gesetze mit datenschutzrechtlichen Vorgaben. 2. Zentrale Grundsätze . . . . . . . . . . . . . . . . . . . a) Verbot mit Erlaubnisvorbehalt. . . . . . . . . . . . . b) Prinzip der Verhältnismäßigkeit . . . . . . . . . . . . c) Datensparsamkeit . . . . . . . . . . . . . . . . . . . d) Transparenz . . . . . . . . . . . . . . . . . . . . . . e) Zweckbindung . . . . . . . . . . . . . . . . . . . . . 3. Grundbegriffe . . . . . . . . . . . . . . . . . . . . . . . a) Personenbezogene Daten . . . . . . . . . . . . . . . b) Verantwortliche Stelle . . . . . . . . . . . . . . . . . c) Umgang mit personenbezogenen Daten . . . . . . . . aa) Erheben . . . . . . . . . . . . . . . . . . . . . . bb) Verarbeiten . . . . . . . . . . . . . . . . . . . . cc) Nutzen . . . . . . . . . . . . . . . . . . . . . . . d) Auftragsdatenverarbeitung . . . . . . . . . . . . . . III. Betrieblicher Datenschutz. . . . . . . . . . . . . . . . . . . 1. Pragmatischer Ansatz: Wo fange ich an? . . . . . . . . . 2. Beratungspraxis . . . . . . . . . . . . . . . . . . . . . a) Der betriebliche Datenschutzbeauftragte . . . . . . . b) Prozess der Datenschutzberatung . . . . . . . . . . . c) Praxisrelevante Beispiele . . . . . . . . . . . . . . . 3. Implementierung . . . . . . . . . . . . . . . . . . . . . 4. Zusammenarbeit mit Behörden . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
615 615 618 618 618 619 619 620 621 623 623 625 626 627 627 627 628 629 629 630 630 632 633 634 634 637 641 643 646 648 651
XXXV
Inhaltsverzeichnis
IV.
V.
VI.
Instrumente der datenschutzrechtlichen Compliance. . . . . .
652
1. Tone-From-The-Top . . . . . . . . . . . . . . . . . . . 2. Interne Richtlinien . . . . . . . . . . . . . . . . . . . a) Datenschutzrichtlinie . . . . . . . . . . . . . . . . b) ITNutzungsrichtlinie . . . . . . . . . . . . . . . . c) EMailPolicy . . . . . . . . . . . . . . . . . . . . d) ITDatenschutzmanagementRichtlinie (Datenschutzmanagementkonzept) . . . . . . . . . e) Archivierungs- & Löschungsrichtlinie . . . . . . . 3. Verfahrensübersicht . . . . . . . . . . . . . . . . . . . 4. Verfahrensverzeichnis. . . . . . . . . . . . . . . . . . 5. Interne Kommunikation und Awareness . . . . . . . . a) Der Datenschutz-Newsletter . . . . . . . . . . . . . b) Intranet . . . . . . . . . . . . . . . . . . . c) Der Datenschutz-Tag & Fachtagungen . . . . . . . 6. Schulungen . . . . . . . . . . . . . . . . . . . . . . . a) Persönliche Schulungen . . . . . . . . . . . . . . . b) ELearning/Webinars . . . . . . . . . . . . . . . . c) Unterstützung dezentraler Compliance-Funktionen.
. . . . .
. . . . .
652 653 653 654 655
. . . . . . . . . . . .
. . . . . . . . . . . .
655 656 657 657 658 658 659 659 659 660 661 662
Effektive Datenschutzüberwachung . . . . . . . . . . . . . .
663
1. Audits und Maßnahmepläne/Quick Self-Assessment. 2. ITInfrastrukturReviews und Koordinierung mit IT Security . . . . . . . . . . . . . . . . . . . . . . 3. Incident und RegelReporting aus den Betrieben . . 4. Der Datenschutzjahresbericht. . . . . . . . . . . . . 5. Bericht an Aufsichtsrat/Compliance-Bericht/ Audit Committee . . . . . . . . . . . . . . . . . . . 6. Zusammenarbeit mit dem Compliance Officer, ITSecurity & Revision . . . . . . . . . . . . . . . .
. . .
663
. . . . . . . . .
665 666 666
. . .
667
. . .
667
Beschäftigtendatenschutz . . . . . . . . . . . . . . . . . . .
669
1. Bedeutung des Beschäftigtendatenschutzes für Compliance . . . . . . . . . . . . . . . . . . . . . . . . 2. Rechtsgrundlagen für den Umgang mit Mitarbeiterdaten . . . . . . . . . . . . . . . . . . . . . a) Kollektivvereinbarungen zur Nutzung von Mitarbeiterdaten . . . . . . . . . . . . . . . . . . . . b) Rechtfertigende Einwilligung des Mitarbeiters . . . . c) Arbeitsvertragliche Regelungsmöglichkeiten . . . . . d) Gesetzliche Erlaubnistatbestände . . . . . . . . . . . e) Internationaler Datenverkehr mit Beschäftigtendaten. XXXVI
.
669
.
672
. . . . .
672 674 675 676 678
Inhaltsverzeichnis
3. Risiken beim Umgang mit Beschäftigtendaten . . . . . . a) Phase 1: Begründung des Arbeitsverhältnisses/ „BoardingPhase“ . . . . . . . . . . . . . . . . . . . b) Phase 2: Durchführung des Arbeitsverhältnisses/ „On BoardPhase“ . . . . . . . . . . . . . . . . . . . c) Phase 3: Beendigung des Arbeitsverhältnisses/ „Off BoardingPhase“ . . . . . . . . . . . . . . . . . . 4. Zusammenarbeit mit dem Betriebsrat. . . . . . . . . . . 5. Personalleiter und Betriebsrat als Teil des Datenschutzund Compliance-Teams . . . . . . . . . . . . . . . . . . 6. Hinweise, Muster und Beispielsfall . . . . . . . . . . . . a) Hinweise zur Regelung der Nutzung von Beschäftigtendaten . . . . . . . . . . . . . . . . . . b) Hinweise zur Regelung der Nutzung von Internet und EMail . . . . . . . . . . . . . . . . . . . . c) Beispielsfall zur Kontrolle bei Verdacht gegen Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . .
.
679
.
679
.
680
. 681 . 682 . .
683 685
.
685
.
686
.
689
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
692
22. Kapitel IT-Compliance – Software-Lizenzmanagement, IT-Sicherheit und Blockchain (Jacobs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
695
VII.
I. II.
III.
Rechtliche Herausforderungen der fortschreitenden Digitalisierung und Vernetzung . . . . . . . . . . . . . . . .
695
SoftwareLizenzmanagement. . . . . . . . . . . . . . . . . .
696
1. Rechtliche Grundlagen der Nutzung von Computerprogrammen . . . . . . . . . . . . . . 2. Besondere Arten von Software, insbesondere Open-Source-Software . . . . . . . . . . . . . . 3. SoftwareLizenzmanagement im Rahmen verantwortungsbewusster Unternehmensführung 4. Rechtsfolgen einer Unterlizenzierung. . . . . . .
. . . . .
698
. . . . . . . . . .
699 699
SoftwareLizenzmanagement im Rahmen von Cloud Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . .
700
1. Nutzungshandlungen beim Cloud Computing . a) Recht der öffentlichen Zugänglichmachung der Software . . . . . . . . . . . . . . . . . b) Recht zur Vervielfältigung der Software . . 2. Lizenzmanagement im Zusammenhang mit Cloud Computing-Diensten . . . . . . . . . . .
. . . . . 697
. . . . . .
700
. . . . . . . . . . . .
701 702
. . . . . .
702
XXXVII
Inhaltsverzeichnis
Rechtsrahmen von Softwarelizenz-Audits . . . . . . . . . . .
703
1. Rechtliche Grundlagen für einen Softwarelizenz-Audit . . 2. Vertragliche Ausgestaltung eines Softwarelizenz-Audits . .
704 705
ITSicherheit . . . . . . . . . . . . . . . . . . . . . . . . . .
706
1. Das ITSicherheitsgesetz . . . . . . . . . . . . . . . . . a) Das BSIG . . . . . . . . . . . . . . . . . . . . . . . aa) Adressatenkreis und Anwendungsbereich . . . . bb) Anforderungen an die Betreiber . . . . . . . . . cc) Meldepflichten für Betreiber Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . dd) Der Begriff der Störung . . . . . . . . . . . . . ee) Weitere Befugnisse des BSI . . . . . . . . . . . ff) Sanktionsmöglichkeiten . . . . . . . . . . . . . b) Änderungen im TKG . . . . . . . . . . . . . . . . . aa) Sicherheitsanforderungen nach § 109 Abs. 2 Satz 2 TKG . . . . . . . . . . . . . . . . . . . . bb) Meldepflichten nach § 109 Abs. 5 TKG . . . . . cc) Information der Nutzer nach § 109a TKG . . . . c) Änderungen im TMG . . . . . . . . . . . . . . . . . d) Verhältnis zu NISRichtlinie . . . . . . . . . . . . . 2. Sonstige Quellen des Rechts der ITSicherheit . . . . . . a) Datenschutzrechtliche Anforderungen an die ITSicherheit . . . . . . . . . . . . . . . . . . . . . . b) Besondere Vorgaben für Banken/Finanzdienstleister/ Wertpapierdienstleistungsunternehmen und Versicherungsunternehmen . . . . . . . . . . . . . . c) GrundschutzKatalog des BSI und internationale Normen . . . . . . . . . . . . . . . . . . . . . . . . 3. Adressaten der Pflichten zur ITSicherheit . . . . . . . .
. . . .
707 707 707 708
. . . . .
709 710 710 710 710
. . . . . .
711 711 711 711 712 712
.
712
.
713
. .
714 715
Blockchain und Smart Contracts . . . . . . . . . . . . . . . .
715
1. Was ist die „Blockkette“? . . . . . . . . . . . . . . . . . . 2. Rechtliche Herausforderungen und ComplianceThemen . . . . . . . . . . . . . . . . . . . . . . . . . . .
716
VII. Implementierung eines ITComplianceSystems . . . . . . . . .
717
1. Risikoanalyse und Grundlagen eines LizenzmanagementSystems . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Richtlinie zur ITSicherheit . . . . . . . . . . . . . . . . . 3. Der ITSicherheitsbeauftragte. . . . . . . . . . . . . . . .
717 719 719
IV.
V.
VI.
XXXVIII
716
Inhaltsverzeichnis
23. Kapitel Cybersecurity, IT-Sicherheit und Krisenmanagement (Bensinger) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I.
Analyse . . . . . . . . . . . . . . . . . . 1. Ziele der ITSicherheit . . . . . . . . 2. Cybercrime im Wandel . . . . . . . . a) Ideelle Hintergründe . . . . . . . b) Materielle Hintergründe . . . . . . 3. Entwicklungen bei Schutzmaßnahmen
. . . . . .
. . . . . .
. . . . . .
721 721 722 723 724 724
II.
Vorbeugende Maßnahmen . . . . . . . . . . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . . . . . . . . a) KRITISBetreiber . . . . . . . . . . . . . . . . . . b) Anbieter von Telemediendiensten . . . . . . . . . . c) Anbieter von Telekommunikationsdiensten . . . . . d) Bank- und Finanzwesen . . . . . . . . . . . . . . . e) Energiewirtschaft . . . . . . . . . . . . . . . . . . f) Geschäftsführung von Aktiengesellschaften und GmbHs . . . . . . . . . . . . . . . . . . . . . 2. Inhalt der gesetzlichen Verpflichtungen . . . . . . . . a) BSIG . . . . . . . . . . . . . . . . . . . . . . . . . b) BDSG . . . . . . . . . . . . . . . . . . . . . . . . c) TMG . . . . . . . . . . . . . . . . . . . . . . . . . d) TKG . . . . . . . . . . . . . . . . . . . . . . . . . e) KWG, ZAG, MaRisk und MaSI . . . . . . . . . . . aa) MaRisk (Mindestanforderungen an das Risikomanagement) . . . . . . . . . . . . . . . bb) MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) . . . . . . . . . . . . . cc) § 22 Abs. 1 ZAG . . . . . . . . . . . . . . . . dd) Konkurrenz zum BSIG . . . . . . . . . . . . . f) EnWG . . . . . . . . . . . . . . . . . . . . . . . . g) NISRichtlinie . . . . . . . . . . . . . . . . . . . h) §§ 76, 91, 93 AktG . . . . . . . . . . . . . . . . . . 3. Unternehmensinterne Vorkehrungen . . . . . . . . . . a) Interne Vorgaben . . . . . . . . . . . . . . . . . . b) Aktuelle technisch-organisatorische Schutzmaßnahmen . .. . . . . . . . . . . . . . . . Der Krisenfall . . . . . . . . . . . . . . . . . . . . . . . 1. Hacker-Angriffe erkennen . . . . . . . . . . . . . . . 2. Rechtliche Konsequenzen und Handlungsoptionen. . . a) Melde und Informationspflichten . . . . . . . . . . aa) BDSG . . . . . . . . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
725 725 726 727 727 728 728
. . . . . . .
. . . . . . .
728 728 729 730 731 731 732
. .
732
. . . . . . . .
. . . . . . . .
733 735 735 735 736 737 738 738
. . . . . .
. . . . . .
738 739 740 740 740 740
III.
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
721
XXXIX
Inhaltsverzeichnis
. . . . . . . . .
741 742 742 743 743 743 744 745 745
24. Kapitel Tax Compliance (Schwartz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Steuerliche Pflichten . . . . . . . . . . . . . . . . . . . . . .
747 747 748
IV.
bb) BSIG . . . . . . . . . . . . . . . . . . cc) TMG . . . . . . . . . . . . . . . . . . dd) TKG . . . . . . . . . . . . . . . . . . ee) MaSI . . . . . . . . . . . . . . . . . . ff) Sonstige Informationspflichten . . . . . b) Werkzeuge zur Abwehr von Cyberangriffen 3. Interne und externe Kommunikation . . . . . . 4. Mittel und längerfristige Maßnahmen . . . . . Ausblick . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
1. Allgemeine steuerliche Pflichten . . . . . . . . . . . . . 2. Spezifische materiellrechtliche Problemschwerpunkte . a) Lohnsteuer und Sozialabgaben . . . . . . . . . . . . b) Umsatzsteuer . . . . . . . . . . . . . . . . . . . . . c) Verdeckte Gewinnausschüttungen. . . . . . . . . . . d) Anzeigepflicht nach § 153 AO . . . . . . . . . . . . . e) Tochtergesellschaften und Betriebstätten im Ausland. f) Internationale Verrechnungspreise . . . . . . . . . . g) Versagung des Betriebsausgabenabzugs nach § 160 AO . . . . . . . . . . . . . . . . . . . . . . . h) Betriebsausgabenabzugsverbot nach § 4 Abs. 5 Satz 1 Nr. 10 EStG . . . . . . . . . . . . . III.
XL
. . . . . . . .
748 752 752 753 754 755 757 758
.
758
.
759
Risiken mangelnder Tax Compliance. . . . . . . . . . . . . .
760
1. Steuerliche Haftungsrisiken. . . . . . . . . . . . . . . 2. Steuerstrafrechtliche und steuerordnungswidrigkeitenrechtliche Risiken . . . . . . . . . . . . . . . . . . . a) Sanktionen gegen Organe und Mitarbeiter . . . . . aa) Steuerhinterziehung und leichtfertige Steuerverkürzung (§§ 370, 378 AO) . . . . . . . . . . (1) Täter . . . . . . . . . . . . . . . . . . . . (2) Objektiver Tatbestand . . . . . . . . . . . (3) Subjektiver Tatbestand . . . . . . . . . . . (4) Strafe . . . . . . . . . . . . . . . . . . . bb) Verletzung der Aufsichtspflicht (§ 130 OWiG) . b) Sanktionen gegen das Unternehmen. . . . . . . . . aa) Verbandsgeldbuße (§ 30 OWiG) . . . . . . . . bb) Verfallsanordnung (§ 29a OWiG). . . . . . . .
. .
760
. . . .
762 763
. . . . . . . . .
763 763 764 767 769 769 770 770 772
. . . . . . . . .
Inhaltsverzeichnis
IV.
V.
Tax ComplianceSystem . . . . . . . . . . . . . . . . . . . .
773
1. Risikoanalyse . . . . . . . . . . . . . . . . . . . . 2. Kernelemente eines Tax Compliance-Systems . . . a) Zuständigkeit für Tax Compliance . . . . . . . b) Zuständigkeit und Verantwortlichkeit bzgl. der steuerlichen Pflichten . . . . . . . . . . . . . . c) Berichtswege/Berichtspflichten . . . . . . . . . d) Prozessbeschreibung Deklarationswesen . . . . e) Kontroll- und Überwachungsmaßnahmen. . . . f) Umgang mit Betriebsprüfungen . . . . . . . . . g) Schulungen . . . . . . . . . . . . . . . . . . . h) Dokumentation . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
773 774 774
. . . . . . .
. . . . . . .
774 775 777 778 779 780 780
Berichtigung von Steuererklärungen . . . . . . . . . . . . . .
781
1. Korrekturvorschrift . . . . . . . . . . . . . . . . . . . . . 2. Selbstanzeige im Unternehmen (§§ 371, 378 Abs. 3 AO) . . a) Person des Anzeigeerstatters . . . . . . . . . . . . . . b) Positive Wirksamkeitsvoraussetzungen des § 371 AO . . . . . . . . . . . . . . . . . . . . . . . . c) Negative Wirksamkeitsvoraussetzungen des § 371 AO (Sperrgründe) . . . . . . . . . . . . . . . . . . . . . . d) Absehen von Verfolgung nach § 398a AO. . . . . . . . e) Bußgeldbefreiende Selbstanzeige nach § 378 Abs. 3 AO . . . . . . . . . . . . . . . . . . . . . . . .
781 782 782
. . . . . . .
. . . . . . .
782 785 787 789
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
789
25. Kapitel Exportkontrolle und Compliance (v. Bodungen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
791
I.
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . .
791
II.
Rechtsgrundlagen der Exportkontrolle in Deutschland . . . .
792
1. Supranationale Vorgaben . . . . . . . . . . . 2. Nationale Vorgaben . . . . . . . . . . . . . . 3. Relevanz ausländischen Exportkontrollrechts a) Allgemeines . . . . . . . . . . . . . . . . b) Insbesondere: USReExportkontrolle. . .
. . . . .
792 793 794 794 794
Exportkontrollrechtliche Genehmigungspflichten . . . . . . .
796
1. Allgemeines. . . . . . . . . . . . . . . . . . . . . . . . . 2. Genehmigungspflichten bei Ausfuhren in Länder außerhalb der EU . . . . . . . . . . . . . . . . . . . . . . a) Gelistete Güter . . . . . . . . . . . . . . . . . . . . .
796
VI.
III.
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
796 796 XLI
Inhaltsverzeichnis
b) Nicht gelistete Güter . . . . . . . . . . . . . 3. Genehmigungspflichten bei Verbringungen . . a) Verbringungen bei Endverbleib in der EU. . b) Verbringungen mit anschließender Ausfuhr. 4. Sonstige Genehmigungspflichten . . . . . . . . a) Handels- und Vermittlungsgeschäfte . . . . b) Technische Unterstützung . . . . . . . . . .
. . . . . . .
797 798 798 798 799 799 800
Exportkontrollrechtliches Genehmigungsverfahren . . . . . .
800
1. 2. 3. 4.
. . . .
800 801 802 803
Exportkontrollrechtliche ComplianceStrukturen . . . . . . .
804
1. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . 2. Der Ausfuhrverantwortliche . . . . . . . . . . . . . . 3. Modell eines innerbetrieblichen Exportkontrollsystems a) Überblick über die relevanten Strukturelemente . . b) Umsetzung im Einzelfall . . . . . . . . . . . . . .
. . . . .
804 805 807 807 809
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . .
811
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . .
813
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . .
853
IV.
V.
VI.
XLII
. . . . . . .
. . . . . . .
. . . . . . .
Zuständigkeit des BAFA . . . . . . . . . . . . . . . Ablauf des Genehmigungsverfahrens. . . . . . . . . Genehmigungstypen . . . . . . . . . . . . . . . . . Sanktionen bei exportkontrollrechtlichen Verstößen .
. . . . . . . . . . .
. . . . . . . . . . . . . . . .