Fachbeiträge & Kommentare zu Compliance

Die Wirtschaftsakteure müssen gemäß Art. 14 2023/988/EU sicherstellen, dass sie über interne Verfahren verfügen, um die jeweils für sie geltenden Anforderungen der EU-Produktsicherheitsverordnung einzuhalten. Hersteller müssen daher mithilfe von Maßnahmen sicherstellen, dass Serienprodukte immer entsprechend den Sicherheitsanforderungen der EU-Produktsicherheitsverordnung he...mehr

Eine Möglichkeit kann folgender Ansatz sein: Eine Skala mit 5 Ausprägungen definiert die Schadenshöhe und die Eintrittswahrscheinlichkeit. Eine Risikomatrix bildet dann das Zusammenwirken aller Ausprägungen i. S. e. "Risiko-Scorewerts" ab. Quelle: GDPC GbR Abb. 1: Risikomatrix So wie in Abb. 1 verhält sich – ähnlich auch in anderen Compliance-Bereichen – die Bewertung und Einst...mehr

Die Pflicht für Meldungen oder Benachrichtigungen ist individuell zu beurteilen. Hier einige Beispiele: E-Mail- oder Post mit personenbezogenen Daten (z. B. Kontosalden, Kreditkartendaten) wird an falschen Empfänger übersendet. Hierbei ist unbedingt der Kontext der Datenverarbeitung beachten: So ist eine falsch adressierte E-Mail aus der Compliance-Abteilung eines Unternehmen...mehr

Die Datenschutz-Grundverordnung beinhaltet konkrete Pflichten bei Schutzverletzungen und macht eine angepasste Reaktion erforderlich. Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen. Denn jeder (!) Mitarbeite...mehr

Erstmals werden mit der Datenschutz-Grundverordnung auch Auftragsverarbeiter wie Host- und Serviceprovider oder sonstige (IT-)Dienstleister direkt in die (Unterstützungs-)Pflicht genommen. Sie müssen zwar die Meldung/Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen. Da die Grundverordnung den Umfang der Unterstützungspflic...mehr

Die Errichtung einer Compliance-Organisation im Unternehmen ist ein komplexer und umfangreicher Prozess. Häufig stellt die Situation für Betroffene eine große Herausforderung dar, insbesondere für Verantwortliche von größeren Unternehmen oder internationalen Konzernen. Doch auch die kontinuierliche Überprüfung und Aktualisierung eines bestehenden Compliance-Management-System...mehr

Die Durchführung einer Risikoanalyse bildet das Fundament für den Aufbau einer effektiven Compliance-Organisation. Während dieses Prozesses werden sämtliche Unternehmensbereiche dahin gehend untersucht, ob sie einem Compliance-Verstoß ausgesetzt sind und welche potenziellen Auswirkungen ein solcher Verstoß auf das Unternehmen haben könnte. Verantwortliche müssen sich während...mehr

Überblick Die Errichtung einer Compliance-Organisation im Unternehmen ist ein komplexer und umfangreicher Prozess. Für Verantwortliche, besonders in großen Unternehmen oder internationalen Konzernen, stellt diese Aufgabe oft erhebliche Herausforderungen dar. Selbst die kontinuierliche Überprüfung und Aktualisierung eines bestehenden Compliance-Management-Systems kann zu Unsi...mehr

Zusammenfassung Überblick In vielen Unternehmen ist heutzutage ein Compliance-Management-System etabliert. Die Wirksamkeit und Funktionsfähigkeit dieses Systems hängt jedoch maßgeblich davon ab, ob vorhandene oder potenzielle Risiken identifiziert und entsprechende präventive Maßnahmen ergriffen wurde. Eine unerlässliche Komponente dieses Prozesses ist die Durchführung einer ...mehr

In der Praxis ist die Bedeutung einer Strukturanalyse den meisten Verantwortlichen völlig unbekannt. Vielmehr werden die Risikoanalyse und die Strukturanalyse häufig verwechselt oder sogar als synonym füreinander angesehen. Dabei handelt es sich bei den beiden Compliance-Analysen um 2 vollkommen unterschiedliche Vorgänge, die bei der Errichtung einer Compliance-Organisation ...mehr

Bei der Durchführung der Strukturanalyse werden sich alle Unternehmen mit Prozessen aus dem Arbeitsrecht auseinandersetzen müssen, insbesondere mit der Durchführung von Bewerbungsgesprächen. Bei diesem Prozess bestehen in der Praxis häufig Unsicherheiten, da vor allem die Vorschriften des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des Bundesdatenschutzgesetzes (BDSG) ...mehr

Ein alltägliches Szenario stellt für die meisten Unternehmen die Annahme von Zuwendungen dar. An dieser Stelle ist große Vorsicht geboten, da durch die Annahme von Geschenken schnell ein Korruptionsverdacht entstehen kann. Zudem besteht oftmals Unsicherheit bei Betroffenen, wie sie sich bei der Annahme von Geschenken verhalten sollen und vor allem dürfen. Der Prozess sollte ...mehr

Zusammenfassung Überblick Die Errichtung einer Compliance-Organisation im Unternehmen ist ein komplexer und umfangreicher Prozess. Für Verantwortliche, besonders in großen Unternehmen oder internationalen Konzernen, stellt diese Aufgabe oft erhebliche Herausforderungen dar. Selbst die kontinuierliche Überprüfung und Aktualisierung eines bestehenden Compliance-Management-Syste...mehr

Bevor eine Strukturanalyse durchgeführt werden kann, ist es unerlässlich, dass Verantwortliche zunächst alle relevanten Unternehmensbereiche identifizieren, um einen umfassenden Überblick über die aktuelle Situation im Unternehmen zu gewinnen. Das Ziel besteht darin, alle Unternehmensprozesse zu erfassen und im Anschluss einer gründlichen Analyse zu unterziehen. Die Methodik...mehr

Die Risikoanalyse stellt die Grundlage einer Compliance-Organisation dar. Die Durchführung sollte daher gründlich und strukturiert erfolgen, um dadurch effektive Maßnahmen einführen zu können und das Unternehmen vor möglichen Compliance-Verstößen bewahren zu können. Denn: Vorsorgliche Präventivmaßnahmen sind besser als Nachsorge!mehr

Die Durchführung einer Strukturanalyse ist zwar keine gesetzliche Vorgabe, jedoch erweist sie sich in der Praxis als äußerst wertvoll für Unternehmen. Verantwortliche sind sich häufig nicht im Klaren darüber, wie das Unternehmen auf spezifische Situationen reagiert und welche Verhaltensweisen einer Verbesserung bedürfen. Oftmals beschränken sich Unternehmen lediglich auf die...mehr

Zu Beginn müssen Verantwortliche die Risiken für Compliance-Verstöße in ihrem Unternehmen identifizieren. Dabei sollte sich die Vorgehensweise am Aufbau einer Strukturanalyse orientieren. Falls bei der Strukturanalyse eine Unterteilung in Arbeitsbereiche vorgenommen wurde, so sollte die Risikoanalyse demselben Schema folgen. Andernfalls kann die Analyse anhand konkreter Hand...mehr

Überblick In vielen Unternehmen ist heutzutage ein Compliance-Management-System etabliert. Die Wirksamkeit und Funktionsfähigkeit dieses Systems hängt jedoch maßgeblich davon ab, ob vorhandene oder potenzielle Risiken identifiziert und entsprechende präventive Maßnahmen ergriffen wurde. Eine unerlässliche Komponente dieses Prozesses ist die Durchführung einer gründlichen Ris...mehr

Nach der Ermittlung potenzieller Risiken sollte in einem nächsten Schritt eine Bewertung der Risiken erfolgen. Das bedeutet, dass die Risiken in konkrete Risikobereiche eingestuft werden müssen, wobei heutzutage unterschiedliche Modelle und Einstufungsmöglichkeiten existieren, z. B: Einstufung erfolgt in gering, mittel, hoch, sehr hoch Einstufung erfolgt anhand einer Skala von...mehr

Um den genauen Ablauf einer Risikoanalyse zu verstehen, ist es zunächst wichtig zu klären, was genau unter dem "Risiko" zu verstehen ist. Gemäß der Definition in der ISO 31000 wird Risiko als das Produkt aus Schaden und Eintrittswahrscheinlichkeit definiert. Dies bedeutet, dass es nicht nur entscheidend ist, ob überhaupt ein Risiko in einem bestimmten Bereich besteht, sonder...mehr

Die Durchführung einer internen Ermittlung kann in der Praxis durch verschiedene Ursachen ausgelöst werden: Aufdeckung eines Fehlverhaltens durch das Compliance-Management Ein Mitarbeiter meldet einen Verstoß oder einen Verdacht Anonyme Hinweise Ermittlungsbehörden werden auf das Unternehmen aufmerksam In der Praxis werden die meisten internen Untersuchungen dadurch ausgelöst, da...mehr

In den meisten Unternehmen gehören interne Compliance-Verstöße leider zum Arbeitsalltag. Gerade in solchen Fällen empfiehlt es sich, eine interne Ermittlung durchzuführen. Der Grund dafür liegt insbesondere darin, dass sich gerade Verstöße von den eigenen Mitarbeitern negativ auf das Arbeitsklima auswirken können und im Unternehmen grundsätzlich für eine Ausnahmesituation so...mehr

Für die Durchführung interner Ermittlungen existieren keine allgemeingültigen Vorschriften, vielmehr richtet sich das konkrete Vorgehen nach dem Einzelfall und sollte bestenfalls als integraler Bestandteil eines umfassenden Notfallplans betrachtet werden. Die Herangehensweise ist darauf zurückzuführen, dass die Aufklärung von Gesetzesverstößen in der Praxis oftmals einen zei...mehr

Überblick Durch eine interne Ermittlung im Unternehmen soll strafrechtlich relevantes Fehlverhalten aufgedeckt und ermittelt werden. Allerdings gibt es bisher keinen konkreten Rahmen für die rechtssichere Durchführung interner Ermittlungen. Deshalb sollten Betroffene wie z. B. Compliance-Beauftragte sich im Vorfeld einer möglichen internen Untersuchung bereits mit dem Ablauf...mehr

Grundsätzlich zielt die Durchführung von "Internal Investigations" oder auch "Interne Ermittlungen" in einem Unternehmen immer darauf ab, mögliche Verstöße gegen Menschenrechte, den Verhaltenskodex, Gesetze aber auch interne Richtlinien gezielt zu untersuchen. Interne Untersuchungen sollten dann durchgeführt werden, wenn es Hinweise oder Beschwerden über mögliche Verstöße geg...mehr

Obwohl das ursprünglich geplante Verbandssanktionsgesetz bislang nicht in Kraft getreten ist, sondern nach langem Hin und Her auf Eis gelegt wurde, bleibt das Thema der internen Ermittlung weiterhin von hoher Relevanz für Unternehmen. Hätte das Gesetz Anwendung gefunden, so hätte es der Durchführung interner Ermittlungen eine neue Bedeutung verliehen. Grund dafür: Unter best...mehr

Bei einem Verdachtsfall liegt i. d. R. ein konkreter Anlass vor, der die berechtigte Annahme nahelegt, dass z. B. ein Mitarbeiter des Unternehmens in einen Compliance-Verstoß verwickelt sein könnte. Diese Situation erfordert im Gegensatz zu einem offensichtlichen Verstoß besondere Vorsicht, da es sich lediglich um einen Verdacht handelt. Im Einzelfall müssen Verantwortliche ...mehr

Bei Unternehmen U handelt es sich um eine große Maklerfirma, welche international tätig ist. Es kommt häufig vor, dass die Makler des Unternehmens Geschenke für ihre erfolgreiche Arbeit erhalten. Die Geschenke fallen dabei sehr unterschiedlich aus: Blumensträuße, Kino-Gutscheine oder auch teure Wellness-Wochenenden. Für die Annahme von Geschenken bestehen im Unternehmen kein...mehr

Nach § 23 KrZwMG erhalten Kreditdienstleistungsinstitute die Befugnis, den sog. Europäischen Pass zu nutzen, um grenzüberschreitend tätig zu werden. Dies bedeutet zum einen, dass Kreditdienstleistungsinstitute mit Sitz in einem anderen Staat des EWR Kreditdienstleistungen in Deutschland erbringen können; zum anderen impliziert der Europäische Pass, dass in Deutschland zugelass...mehr

Alle gängigen Managementsysteme sehen die Beobachtung von Prozessen vor. Die oben gemachten Ausführungen über Prozessmanagement als Führungsfunktion werden in unterschiedlicher Form in allen Managementsystemen genannt. Viele Managementsysteme sind in einer ISO-Norm festgelegt, so zum Beispiel Systeme für Qualitätsmanagement, Umweltmanagement oder Informationssicherheitsmanag...mehr

Rn. 176 Stand: EL 42 – ET: 05/2024 Die Neuregelung erwähnt ausdrücklich nur zwei der vier betriebswirtschaftlichen Kontrollsysteme, so dass sich die Frage stellt, ob künftig bei börsennotierten AG auch die Einrichtung eines internen Revisionssystems und CMS gefordert wird. Beide Systeme werden in Abs. 3 nicht ausdrücklich erwähnt. Rn. 177 Stand: EL 42 – ET: 05/2024 Die Interne ...mehr

Tz. 86 Stand: EL 42 – ET: 05/2024 Bastuck (1986), Enthaftung des Managements, Köln et al. Baumbach/Hueck (1968), Aktiengesetz, 13. Aufl., München. Fleischer (2006), Handbuch des Vorstandsrechts, München. Ihlas (2009), D&O – Directors & Officers Liability, 2. Aufl., Berlin. Mertens (1990), Kommentierung zu § 249 BGB (Vorbemerkungen), in: Soergel (Hrsg.), Bürgerliches Gesetzbuch, 1...mehr

Rn. 155 Stand: EL 42 – ET: 05/2024 Das IKS umfasst die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Sicherung der Ordnungsmäßigkeit der RL sowie zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften (vgl. BT-Drs. 19/26966, S. 115; ferner BT-Drs. 16/10067, S. 77). Die wesentlichen Definiti...mehr

Rn. 189 Stand: EL 41 – ET: 12/2023 Das AktG gibt weder Aufschluss darüber, wie das "einzurichtende Überwachungssystem" gestaltet sein muss (vgl. Brebeck/Herrmann, WPg 1997, S. 381 (387)), noch wie es zu prüfen ist. Die Gestaltung des Überwachungssystems kann schon deshalb nicht in der gesetzlichen Vorschrift vorgegeben werden, weil es entsprechend der Größe und Branche des zu...mehr

Rn. 145 Stand: EL 42 – ET: 05/2024 Die Regelung des § 91 Abs. 3 AktG wurde mit dem FISG (vgl. hierzu auch Fischer/Schuck, NZG 2021, S. 534ff.; HdR-E, AktG § 91, Rn. 2a) neu eingeführt. Der Schwerpunkt dieser Gesetzesreform lag dabei auf der Stärkung der Kontrolle der RL und AP. Rn. 146 Stand: EL 42 – ET: 05/2024 Die neu eingeführte Vorschrift richtet sich an börsennotierte AG. ...mehr

Rn. 225 Stand: EL 41 – ET: 12/2023 Baetge (1988), Kontrollmanagement, in: Hoffmann/Rosenstiel (Hrsg.), Funktionale Managementlehre, Berlin et al., S. 383–432. Baetge (1993), Überwachung, in: Bitz (Hrsg.), Vahlens Kompendium der Betriebswirtschaftslehre (Bd. II), 3. Aufl., München, S. 175–218. Baetge (2000), Rechnungslegungskonzeptionen im empirischen Test, in: Wirtschaftswissen...mehr

Rn. 567 Stand: EL 33 – ET: 09/2021 Die Angabepflicht zu den AP-Honoraren wurde mit dem BilReG in das HGB eingeführt sowie mit dem BilMoG an die EU-Vorgaben des Art. 43 Abs. 1 Nr. 15 Unterabs. 1 der 4. EG-R (derweil: Art. 18 Abs. 1 lit. b) der Bilanz-R) i. d. F. der AP-R 2006/43/EG vom 17.05.2006 (ABl. EU, L 157/87ff. vom 09.06.2006) angepasst. Entsprechende Angabepflichten be...mehr

In der Gesellschaft, in den Medien und in Fachkreisen wird intensiv diskutiert, welche Eigenschaften der erfolgreiche Manager in Zeiten der Digitalisierung mitbringen muss, um ein bestehendes Geschäftsmodell aufzubrechen und zu verändern oder um ein neues Geschäftsmodell erfolgreich in den Markt einzuführen. Praxis-Beispiel Vorbild sind meist die US-Manager, die bereits nachg...mehr

Software für BI und Analytics wird in Anwender- und Datenmanagement-Werkzeuge unterteilt Der Markt für Business Intelligence und Analytics in der von uns genutzten breiten Definition von Business-Intelligence-Systemen als "Informationssysteme zur Integration, Speicherung, Bereitstellung und Analyse von Daten zur Entscheidungsunterstützung" gesehen. Er umfasst zwei wesentliche...mehr

Für Arbeitgeber stellt sich die Frage, wie sie Compliance-Regelungen in das Arbeitsverhältnis aus taktischer Sicht implementieren sollten, damit sie für die Mitarbeiter verbindlich sind. Es kommt in Betracht, die Regelungen im Rahmen des Direktionsrechts einseitig anzuweisen (z. B. auf Basis einer Richtlinie bzw. Policy), durch Abschluss einer Betriebsvereinbarung mit dem Be...mehr

Neben gravierenden und regelmäßig irreparablen Reputationsschäden drohen auch dem Arbeitgeber in Korruptionsfällen erhebliche finanzielle Schäden. Als Rechtsfolgen kommen u. a. Unternehmensgeldbußen nach §§ 30 i. V. m. 130 OWiG, die sog. Dritteinziehung zur Herausgabe des Erlangten nach § 29a Abs. 2 OWiG sowie steuerliche Nachforderungen in Betracht. Außerdem drohen Vergabes...mehr

Überblick "Kleine Geschenke erhalten die Freundschaft" lautet ein weitverbreitetes Sprichwort. Im Arbeitsverhältnis können Geschenke und Zuwendungen indes Anlass zum Streit bieten. Gewähren Arbeitgeber ihren Mitarbeitern freiwillig Aufmerksamkeiten, orientieren sie sich dazu in der Praxis regelmäßig an den steuer- und sozialversicherungsrechtlichen Regelungen und Freigrenzen...mehr

Ausgesprochen Compliance-relevant sind hingegen Zuwendungen, die Dritte (insbesondere Kunden, Lieferanten) den Arbeitnehmern im Zusammenhang mit dem Arbeitsverhältnis gewähren bzw. von den Arbeitnehmern erhalten. Dazu im Einzelnen: 2.1 Gesetzlicher Regelungsrahmen 2.1.1 Strafbarkeit von Schmiergeldern Gewähren dritte Personen finanzielle Vorteile oder Zuwendungen dem Arbeitnehm...mehr

These 1: Zunehmende Breite und Tiefe im Konzernberichtswesen erfordert mehr Integration durch Transformation Die Sicherstellung der Compliance mit neuen Regelwerken wie z. B. BEPS Pillar 2 oder mit den Anforderungen der ESRS legt eine zeitnahe "Neugestaltung" und Verzahnung des Konzernberichtswesens nahe. Damit wird das Berichtswesen sowohl breiter als auch tiefer. Die zunehm...mehr

Ein Finanzinstitut verwendet Microsoft Fabric, um verschiedene Datenquellen zu integrieren und umfassende Analysen seiner finanziellen Leistung durchzuführen. Die Plattform ermöglicht es dem Finanzinstitut, Daten aus internen Systemen wie Transaktionsdaten, Kundeninformationen und Risikometriken sowie externen Quellen wie Marktdaten und Wirtschaftsindikatoren nahtlos zu inte...mehr

These 5: Zur Umsetzung eines integrierten Berichtswesens sind zunächst alle Anforderungen zu bündeln und in ein gemeinsames, ganzheitliches Zielbild zu transformieren. Um die beschriebenen Herausforderungen der integrierten Berichterstattung zu meistern, die internen Erwartungen und die externen Veröffentlichungs- und Compliance-Anforderungen zu erfüllen und gleichzeitig die ...mehr

Überblick Microsoft Fabric kann als Antwort auf aktuelle Herausforderungen im Datenmanagement betrachtet werden. Eine Plattform, die das Datenmanagement neu definiert, indem sie eine umfassende Lösung für die Datenverarbeitung und -analyse bietet. Die Plattform unterstützt die Integration verschiedener Datenquellen und fördert die Nutzung von KI und maschinellem Lernen für t...mehr

Während Microsoft Fabric eine vielversprechende Lösung für viele Herausforderungen im Bereich des Datenmanagements bietet, gibt es doch einige Überlegungen und potenzielle Herausforderungen, die Unternehmen bei der Adoption berücksichtigen sollten: Datenschutz und Compliance: Angesichts der zunehmenden globalen Vorschriften zum Datenschutz müssen Unternehmen sicherstellen, da...mehr

Microsoft Fabric ist mit vielen Sicherheitsfunktionen ausgestattet, die darauf abzielen, Daten vor unbefugtem Zugriff und Bedrohungen zu schützen: Umfassende Sicherheitsarchitektur: Microsoft Fabric bietet eine Sicherheitsarchitektur, die es Unternehmen ermöglicht, ihre Daten vor unbefugtem Zugriff zu schützen. Dies umfasst unter anderem Verschlüsselung, Zugriffskontrollen un...mehr

Im Kontext der steigenden Bedeutung von ESG ist die Entwicklung einer effektiven Governance und Organisation entscheidend für Unternehmen, die sich den regulatorischen Anforderungen und den wachsenden Erwartungen der Stakeholder stellen. Die Einführung eines ESG-Target Operating Models bietet ein beträchtliches Potenzial, um regulatorische Vorgaben effizient umzusetzen und g...mehr