Compliance Management im Unternehmen E-Book

Alle im Buch verwendeten Begriffe verstehen sich geschlechterneutral. Aus Gründen der besseren Lesbarkeit wird teilweise auf eine geschlechtsspezifische Differenzierung verzichtet – entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat lediglich redaktionelle Gründe und beinhaltet keine Wertung.

ISBN 978-3-8005-1931-6

© 2025 Deutscher Fachverlag GmbH, Fachmedien Recht undWirtschaft, Mainzer Landstr. 251, 60326 Frankfurt am Main, [email protected] www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Satzkonvertierung: Lichtsatz Michael Glaese GmbH, 69502 Hemsbach

Druck und Verarbeitung: Beltz Bad Langensalza GmbH, 99947 Bad Langensalza

Vorwort zur 3. Auflage

Wie wenig andere Themenbereiche ist Compliance durch eine anhaltende Dynamik geprägt, die aus vielfältigen Aktivitäten des Gesetzgebers und der Gerichte sowie durch neue Entwicklungen in Rechtswissenschaft und Unternehmenspraxis resultiert. Dies gilt insbesondere für neue und wachsende Anforderungen im Bereich der sog. „ESG-Compliance“, für größer werdende Compliance-Herausforderungen im Zuge der Digitalisierung (insbesondere im Zusammenhang adäquater „Cyber-Security“) sowie für gestiegene Risiken bei grenzüberschreitender Geschäftstätigkeit (Stichwort „Sanctions Compliance“). Zugleich zeigen neuere Entwicklungen der „Lieferketten-Compliance“, dass sich die Reichweite bestimmter Compliance-Pflichten über den eigenen Unternehmensbereich hinaus erweitert. Die Notwendigkeit für ein Compliance Management im Sinne wirksamer organisatorischer Vorkehrungen zur Verhinderung von Regelverstößen, zur Aufdeckung und Sanktionierung von „Non-Compliance“ sowie zur regelmäßigen Aktualisierung der etablierten Strukturen und Maßnahmen wird dadurch immer größer. Für die Geschäftsleiter stellt sich die erfolgreiche und dauerhafte Implementierung eines wirksamen Compliance Managements daher dauerhaft als eine zentrale und zugleich anspruchsvolle Führungsaufgabe dar.

Mit der Neuauflage greifen wir aktuelle Entwicklungen in Gesetzgebung, Rechtsprechung und Rechtswissenschaft auf und zeigen am Beispiel zentraler Compliance-Fragen, welchen Anforderungen ein erfolgreiches Compliance Management genügen sollte und wie eine dauerhafte Implementierung gelingen kann. Mit vielfältigen Perspektiven und Handlungsempfehlungen unserer Autorinnen und Autoren aus Praxis und Wissenschaft wollen wir auch mit der Neuauflage wieder dazu beitragen, ein wirkungsvolles Compliance Management zu etablieren und aktuell zu halten.

Mein herzlicher Dank gilt allen Autorinnen und Autoren, welche ihr umfassendes Know-how und ihre langjährigen Erfahrungen in diese Neuauflage eingebracht haben. Mein besonderer Dank gilt ferner Frau Nadine Grüttner, die als Lektorin das Manuskript, ebenso wie bei den Vorauflagen, umsichtig und umfassend betreut hat. Herrn Verlagsleiter Patrick Orth danke ich herzlich für wertvolle redaktionelle Hinweise.

Frankfurt am Main, im November 2024

Martin R. Schulz

Verzeichnis der Autorinnen und Autoren

Wolfram Bartuschka, Wirtschaftsprüfer und Steuerberater, ist als Partner für PwC in München tätig und berät seit über 25 Jahren Mandanten bei der Umsetzung von Anforderungen in den Bereichen (Tax) Compliance, Governance, interne Kontrollsysteme insbesondere beim Einsatz neuer Technologien. Darüber hinaus prüft er im Rahmen von Jahresabschluss- und Sonderprüfungen Corporate Governance Systeme. Er publiziert und hält Vorträge zu diesen Themen und betreut vor allem mittelständische und Familienunternehmen.

Philipp Becker ist Senior Legal Counsel im Bereich Litigation und Investigation bei der Zurich Insurance Company Ltd. Sein Dienstsitz ist Zürich. Zuvor war er Principal Associate in den Bereichen IP/IT und Dispute Resolution bei der Rechtsanwaltskanzlei Freshfields Bruckhaus Deringer LLP in Köln. Er veröffentlicht und spricht regelmäßig zu den Themen Datenschutz, Compliance und Investigation.

Carsten Beisheim ist Rechtsanwalt und Partner bei GvW Graf von Westphalen. Er berät industrieübergreifend insbesondere auf den Gebieten Compliance, ESG bzw. Nachhaltigkeit sowie in Fragen der IT Governance. Aus seinen früheren Tätigkeiten für eine internationale Wirtschaftskanzlei sowie als General Counsel und Chief Compliance Officer in namhaften Konzernen (börsennotiertes Finanzkonglomerat und Mischkonzern in Familienbesitz) verfügt er über umfangreiche Kenntnisse und Erfahrungen in der Rechts- und Compliance-Beratung sowie auf den Gebieten der Nachhaltigkeit und Informationssicherheit. Das Deutsche Rechnungslegungs Standards Committee (DRSC), den deutschen Standardsetzer im Bereich der Bilanzierung, unterstützt Carsten Beisheim im Fachausschuss ESG-Reporting.

Prof. Dr. Daniel Benkert ist Rechtsanwalt und Gründungspartner der international ausgerichteten Frankfurter Wirtschaftssozietät METIS Rechtsanwälte PartG mbB. Zuvor war er acht Jahre lang für die Großkanzlei Freshfields Bruckhaus Deringer LLP tätig. Er ist Fachanwalt für Arbeitsrecht und berät in allen Fragen von Arbeitsrecht, Konfliktlösung und Compliance. Zudem hat Benkert bereits zahlreiche Transaktionen und Umstrukturierungen arbeitsrechtlich begleitet. Benkert ist unter anderem Mitautor eines Standardkommentars zum Kündigungsschutzgesetz und hält In-house-Schulungen zu Compliance-Standards ab.

Dr. Viola Bensinger ist Partnerin der Kanzlei Greenberg Traurig und leitet in Deutschland den Bereich Technologie. Sie ist außerdem Co-Chair der globalen Praxisgruppen IP & Technology sowie Data, Privacy & Cyber Security. Sie berät deutsche und internationale Internet-, Technologie- und Gesundheitsunternehmen, insbesondere in den Bereichen Digitalisierung, E-Commerce, digitale Zahlungsdienstleistungen, Lizensierungen und Vertrieb, Compliance, Insolvenzen, Datenschutz, Cloud Computing sowie Outsourcing. Bensinger veranstaltet interdisziplinäre Schulungen für Cyber Crisis-Situationen und ist Herausgeberin und Autorin zahlreicher Publikationen zum IT- und Internetrecht.

Florian Block ist Rechtsanwalt und Partner bei CMS in Deutschland, München, im Bereich Compliance & Forensic Services. Er verfügt über umfassende Erfahrung beim Auf- oder Ausbau von Compliance-Strukturen und bei der Einrichtung von europa- und weltweiten Hinweisgebersystemen. Florian Block ist für eine Vielzahl von Unternehmen als Meldestellenbeauftragter bzw. Ombudsmann tätig. Er hat zudem große Erfahrung in der Aufarbeitung von Compliance-Verstößen und unterstützt Unternehmen bei internen Ermittlungen, behördlichen Untersuchungen und der Rückgewinnung von Vermögenswerten sowie der außergerichtlichen und gerichtlichen Durchsetzung von Schadensersatzansprüchen.

Prof. Dr. Benjamin von Bodungen, LL.M. (Auckland), ist Partner der internationalen Anwaltssozietät Bird & Bird LLP in Frankfurt am Main und gehört dort der Praxisgruppe Finanzierung und Finanzregulierung sowie der Sektorgruppe Automotive an. Ein Schwerpunkt seiner Praxis liegt im Bereich grenzüberschreitender Finanzierungen, insbesondere was die Finanzierung mobiler Ausrüstungsgegenstände wie Luftfahrzeuge, Eisenbahnrollmaterial und Schiffe anbelangt. Ebenso berät er Mandanten zum nationalen und internationalen Transport-, Verkehrs- und Logistikrecht, wobei ein besonderer Schwerpunkt auf den zulassungs- und haftungsrechtlichen Aspekten des autonomen Fahrens liegt.

Dietmar Böhlke, MBA (Warwick), ist Rechtsanwalt und Leiter der deutschen Rechtsabteilung der CGI Deutschland B.V. & Co. KG. In dieser Funktion berät er die Gesellschaft und den Datenschutzbeauftragten auch datenschutzrechtlich. Zuvor war er zwölf Jahre lang für die Media-Saturn-Holding GmbH und die Ceconomy AG u.a. als Konzerndatenschutzbeauftragter und Bereichsleiter der Rechtsabteilung tätig. Weitere berufliche Stationen waren davor die Kanzlei SKW Schwarz sowie die T-Systems International GmbH. Er veröffentlicht und spricht regelmäßig zu den Themen IT-Recht und Datenschutz.

Dr. Marcus Böttger ist Rechtsanwalt und Fachanwalt für Strafrecht. Als Gründungspartner der Kanzlei VBB Rechtsanwälte (Düsseldorf · Essen · Karlsruhe) ist er ausschließlich in den Bereichen Wirtschafts- und Steuerstrafrecht sowie in der Compliance-Beratung tätig. Neben seiner Tätigkeit als Dozent z.B. für die German Graduate School of Management and Law (GGS), das Bundeskriminalamt oder die Deutsche AnwaltAkademie war er bis 2017 Richter am Anwaltsgerichtshof des Landes Nordrhein-Westfalen. Er veröffentlicht regelmäßig in den Bereichen Wirtschaftsstrafrecht und Compliance.

Dr. Bernd Federmann, LL.M., seit 2007 Rechtsanwalt bei KPMG Law. Er ist Partner der Kanzlei, leitet deren Stuttgarter Standort und ist EMA Head of Compliance sowie Global Legal Sector Head of Industrial Manufacturing von KPMG Law. Er berät Unternehmen beim Auf- und Ausbau ihrer Governance-Systeme und unterstützt sie in deren Regelbetrieb. Bernd Federmann ist Mitautor zahlreicher Veröffentlichungen im Governance- und Compliance-Kontext.

Armin Fladung ist Gründer und Geschäftsführer des CAD-Institut für Compliance, Arbeitsrecht und Datenschutz. Seit über 20 Jahren unterstützt er als Rechtsanwalt, Compliance-Officer und Datenschutzbeauftragter vor allem Unternehmen, Verbände sowie Stiftungen bei der Einführung von Compliance- und Datenschutz-Managementsystemen auch hinsichtlich arbeitsrechtlicher Herausforderungen. Armin Fladung ist zudem zertifizierter KI-Manager (DFKI) und Autor zahlreicher Fachveröffentlichungen.

Prof. Dr. Kai Förstl ist Professor für Supply Chain Management an der EBS Business School und Leiter der EBS Executive School. Er promovierte an der EBS Universität für Wirtschaft und Recht und war anschließend als Postdoc am Fraunhofer Center for Applied Research on Supply Chain Services. Vor seiner Rückkehr an die EBS war er in seiner vorherigen Position Professor für Supply Chain Management und Logistik an der German Graduate School of Management and Law (GGS), Heilbronn. Er ist Autor und Gutachter diverser internationaler Fachzeitschriften und seine Forschungsinteressen umfassen Global Sourcing, Reshoring und Insourcing, Supply Chain Management Teams und nachhaltiges Supply Chain Management.

Melanie Frankenberger ist Rechtsanwältin in Frankfurt am Main und seit 2016 Syndikusrechtsanwältin und Compliance Counsel bei der Commerzbank AG, Global Markets Compliance. Ihr Fokus liegt auf dem Bereich Wertpapiergeschäft. In der Commerzbank AG verantwortet sie insbesondere das Thema Mitarbeitergeschäfte und erstellt u.a. weltweit gültige Arbeitsanweisungen. Darüber hinaus befasst sie sich mit der Durchführung und Weiterentwicklung der globalen, konzernweiten Risikoanalyse im Hinblick auf das Wertpapiergeschäft. Vor ihrer Tätigkeit bei der Commerzbank AG war sie als Compliance-Beauftragte für mehrere Volks- und Raiffeisenbanken tätig und Rechtsanwältin bei einer amerikanischen Wirtschaftskanzlei im Bereich Bankaufsichtsrecht und Compliance.

Dr. Ulrich Hagel ist Rechtsanwalt, Wirtschaftsmediator und Partner bei HWCL in Berlin. Er war über 25 Jahre in Unternehmen tätig, zuletzt als Chief Compliance & Security Officer eines Weltmarktführers in der Bahnindustrie. Er berät Unternehmen, Verbände und öffentliche Auftraggeber in allen Compliance-Fragen und im Bereich der Konfliktbeilegung (Dispute Resolution). Er unterstützt und berät beim Aufbau und der Weiterentwicklung von Compliance- und Risiko-Managementsystemen, Beschwerdemechanismen und internen Untersuchungen. Bei der Konfliktbeilegung agiert Ulrich Hagel als neutraler Wirtschaftsmediator und Schiedsrichter, bei Mediationsverfahren auch als Parteivertreter (Mediationsanwalt). Ulrich Hagel ist Vorstandsvorsitzender des Europäischen Instituts für Konfliktmanagement (EUCON), Beirat der Deutschen Institution für Schiedsgerichtsbarkeit (DIS) und Mitglied der Arbeitskreise Menschenrechte und Exportkontrolle des Deutschen Instituts für Compliance (DICO).

Prof. Dr. Katharina Hastenrath ist Expertin im Bereich Governance, Compliance und ESG. Sie berät global tätige Unternehmen in vorgenannten Themen. Daneben hält sie eine diesbezügliche Professur an der Züricher Hochschule für Angewandte Wissenschaften (ZHAW) und leitet dort u.a. einen Weiterbildungsmaster in Compliance. Zuvor war sie für drei Unternehmen als Compliance Counsel bzw. Chief Compliance Officerin tätig. Hastenrath ist Dozentin an weiteren renommierten Hochschulen im In- und Ausland, Fachbeirätin und Chefredakteurin des Compliance-Fachjournals „Recht relevant für Compliance Officers“ in der Schweiz.

Dominik Heske, LL.M. (Compliance), ist Rechtsanwalt und seit 2016 Syndikusrechtsanwalt bei der HUGO BOSS AG. Als Compliance & Human Rights Officer leitet er die Compliance Abteilung. Zuvor war er unter anderem als Rechtsanwalt bei CMS in Stuttgart tätig. Der Beitrag stellt ausschließlich die persönliche Auffassung des Verfassers dar.

Sven Jacobs arbeitet als Senior Legal Counsel und EMEA Data Strategy Lead für Cisco Systems im Bereich IT-Lizenzverträge, Datenrecht und regulatorische Marktzugangsbedingungen. Es ist darüber hinaus Lehrbeauftragter für Immaterialgüter- und KI-Recht an der Hector School des Karlsruhe Institute of Technology und Autor diverser Bücher und Aufsätze zu den Themen IT-Compliance, Legal Tech und Datenschutz/Datenrecht.

Dr. Joachim Kaetzler ist Rechtsanwalt und Partner bei CMS in Deutschland, Frankfurt am Main. Seit 1999 berät er Unternehmen innerhalb und außerhalb des Finanzsektors in Compliance-Fragen, insbesondere zur Geldwäsche- und Korruptionsprävention. Er begleitet aktuelle rechtliche Entwicklungen seit vielen Jahren durch Publikationen, Vorträge und Lehrtätigkeit an verschiedenen Hochschulen sowie Bildungseinrichtungen.

Prof. Dr. Oliver Keßler ist Professor für Wirtschaftsrecht an der Hochschule Karlsruhe (HKA). Zuvor hat er über 20 Jahre lang als Rechtsanwalt und Partner führender internationaler Wirtschaftskanzleien Finanzinstitute und Unternehmen bei der Strukturierung und Nutzung von Finanz- und Kapitalmarktprodukten sowie den damit verbundenen Risikomanagement- und Compliance-Themen beraten. Keßler befasst sich heute schwerpunktmäßig mit interdisziplinärer Risikoforschung an der Schnittstelle von Recht und Wirtschaft und publiziert regelmäßig hierzu.

Martin T. Knopp, LL.M., CCP, CAP, CORM, CFE, arbeitet seit 2020 bei einem deutschen Handelsunternehmen, das zu den führenden Unternehmen im Lebensmitteleinzelhandel in Deutschland und Europa zählt. Als Senior Consultant im Bereich HR Compliance International befasst er sich insbesondere mit der konzeptionellen Ausgestaltung und Weiterentwicklung des CMS-Programms HR sowie der Betreuung, Beratung und Unterstützung der Landesgesellschaften bei der Implementierung. Dabei wirkt er maßgeblich bei der Gestaltung und Entwicklung der Methodik zur Durchführung von HR Compliance-Risikoanalysen mit. Zuvor war er als wissenschaftlicher Mitarbeiter am Institut für Compliance und Unternehmensrecht (ICU) der German Graduate School of Management & Law (GGS) in Heilbronn tätig.

Till Komma ist Rechtsanwalt bei CMS in Deutschland, Frankfurt am Main. Dort berät er Unternehmen im Bereich des Wirtschaftsstrafrechts sowie zu Compliance-Angelegenheiten. Er ist auf die unternehmensinterne Prävention von Geldwäsche, Korruption und Betrug sowie die Durchführung von internen Untersuchungen spezialisiert. Darüber hinaus begleitet er Mandanten bei der Entwicklung, Einführung und Verbesserung von Compliance-Management-Programmen.

Marcel Moussaoui ist Rechtsanwalt und Senior Associate bei CMS in Deutschland, Frankfurt am Main. Er ist spezialisiert auf den Bereich Compliance. Er berät nationale und internationale Unternehmen des Finanz- und des Nichtfinanzsektors zu Rechtsfragen im Bereich Anti-Financial Crime (Geldwäscheprävention, Prävention von Verstößen gegen Finanzsanktionen). Zudem begleitet er Unternehmen bei allen compliance-relevanten Fragestellungen im Tagesgeschäft. Er verfügt zudem über umfangreiche Erfahrung bei der Durchführung von internen Untersuchungen.

Dr. Oliver Mross, Rechtsanwalt, ist Leiter des Compliance Office bei der HELLA GmbH & Co. KGaA, Lippstadt. Zu seinem Aufgabenbereich gehören die Bereiche Kartellrecht und Korruptionsprävention sowie das bereichsübergreifende Compliance-Management-System. Vor seiner Tätigkeit bei HELLA war er als Rechtsanwalt für eine internationale Wirtschaftskanzlei mit Schwerpunkt Kartellrecht tätig.

Dr. Manfred Rack ist Rechtsanwalt und Notar bei Rack Rechtsanwälte, Frankfurt am Main. Seine Arbeitsschwerpunkte liegen im Compliance- und Risikomanagement. Er ist Herausgeber des EDV-gestützten Managementsystems „Recht im Betrieb“: Umwelt- und arbeitsschutzrechtliche Betriebsorganisation, Bank- und Kapitalmarktrecht, Pflichtenmanagement für Vorstand, Geschäftsführer und Aufsichtsrat. Er publiziert regelmäßig zu den Themen Risikomanagement und Organisationsrecht in der Zeitschrift „Compliance Berater“.

Dr. Christian Rau, LL.M. (Georgetown), verfügt über langjährige Erfahrungen im In- und Ausland, als Rechtsanwalt, In-House Counsel, Manager und Dozent, vor allem in den Bereichen Governance, Compliance, Risk, M&A und US-Litigation. 2007 übernahm er, nach beruflichen Stationen bei Freshfields in Berlin und Johnson & Johnson in Brüssel und New Jersey, den globalen Konzernbereich Recht und Compliance beim Dax-Konzern Linde AG in München. Seit 2018 verantwortet er als Chief Compliance Officer und Head of GRC EMEA beim japanischen Medizintechnikunternehmen Olympus die Bereiche Governance, Risk, Compliance, Datenschutz und Information Security. Dr. Rau absolvierte seine juristische Ausbildung in Freiburg, Genf, Washington D. C. und Berlin. Er lebt und arbeitet in Hamburg.

RA Hartmut T. Renz ist Partner Regulatory, Risk & Compliance Advisory bei der STRATECO GmbH sowie Co-CEO der TRECCERT GmbH, Hannover. Er war zuvor in verantwortlichen (Chief-)Compliance Officer- und weiteren Leitungsfunktionen unter anderem bei der DZ Bank AG, Helaba, LBBW und Citigroup tätig. Ferner ist er Dozent an der Universität Zürich, Schweiz, der Universität Vaduz, Liechtenstein, sowie der Frankfurt School of Finance and Management, Frankfurt am Main, Deutschland, und war Dozent an der Universität St. Gallen, Schweiz.

Frank Romeike ist Gründer und geschäftsführender Gesellschafter des Kompetenzzentrums RiskNET – The Risk Management Network. In seiner beruflichen Vergangenheit war er Chief Risk Officer bei der IBM Central Europe. Er hat u.a. ein wirtschaftswissenschaftliches und mathematisches Studium abgeschlossen. Im Anschluss hat er Politikwissenschaften, Psychologie und Philosophie studiert. Außerdem hat er ein exekutives Masterstudium im Bereich Risiko- und Compliance Management abgeschlossen.

Charlotte Salathé ist Rechtsanwältin und Counsel bei CMS in Deutschland, Frankfurt am Main. Sie berät nationale und internationale Unternehmen des Finanz- und des Nichtfinanzsektors umfassend bei compliance-bezogenen Fragestellungen. Ihr Fokus liegt auf den Bereichen Geldwäsche-, Korruptions- und Betrugsprävention sowie auf Fragen des Außenwirtschaftsrechts. Sie begleitet Mandanten bei der Konzeption und Durchführung von Compliance-Risikoanalysen sowie der Entwicklung, Überarbeitung und Implementierung von Compliance-Management-Systemen, der Durchführung von internen Untersuchungen und unterstützt Mandanten bei allen compliance-relevanten Fragestellungen im Tagesgeschäft.

Dr. Christian Scherer ist Fachanwalt für Vergaberecht und für Verwaltungsrecht sowie Partner bei CMS in Deutschland, Köln. Er verfügt über reichhaltige Erfahrung mit der Beratung von Bietern und öffentlichen Auftraggebern zum Vergaberecht, einschließlich der Vertretung in Vergabenachprüfungsverfahren. Zu seinen Tätigkeitsschwerpunkten gehört die Begleitung von Unternehmen in Vergabeverfahren zur Vermeidung von Vergabefehlern und Entwicklung von Strategien bei Compliance-Verstößen genauso wie die Unterstützung von Vergabestellen bei der Strukturierung und Durchführung von Beschaffungen.

Prof. Dr. Martin C. Schleper ist Professor für Supply Chain Management und Nachhaltigkeit an der NEOMA Business School in Reims, Frankreich. Nach seiner Promotion und Projektleitung an der EBS Universität für Wirtschaft und Recht in Wiesbaden arbeitete er an der German Graduate School of Management & Law (GGS) in Heilbronn, an der University of Nottingham, UK und an der University of Sussex, UK. Er ist Autor und Gutachter diverser internationaler Fachzeitschriften und In seiner Forschung untersucht er nachhaltiges und ethisches Supply Chain Management, Aspekte des Risikomanagements und der Resilienz in Lieferketten sowie Käufer-Lieferanten-Beziehungen im Allgemeinen.

Prof. Dr. Martin R. Schulz, LL.M (Yale), ist Rechtsanwalt und Counsel bei CMS in Deutschland, Frankfurt am Main. Ferner ist er Professor für Wirtschaftsrecht an der IU Internationale Hochschule, Erfurt. Seine Publikations- und Tätigkeitsschwerpunkte sind Gesellschaftsrecht, Compliance Management im Unternehmen sowie Wissensmanagement für Juristen. Im Fokus stehen dabei die erfolgreiche Umsetzung von Compliance-Maßnahmen im Unternehmen, Compliance-Fragen in Lieferketten sowie die Implementierung von Wissens- und Innovationsmanagement in Kanzleien. Zu diesen Themen hat Martin Schulz zahlreiche Beiträge in deutscher und englischer Sprache veröffentlicht.

Dr. Tobias Schwartz ist Rechtsanwalt, Fachanwalt für Steuerrecht und Partner bei Flick Gocke Schaumburg in Bonn. Seine Kompetenzfelder liegen insbesondere in der Beratung von Unternehmen in Fragen der Tax Compliance sowie des Steuerstraf- und Wirtschaftsstrafrechts. Er ist Lehrbeauftragter für Steuerstrafrecht an der Universität Bayreuth und veröffentlicht daneben regelmäßig zu den Themen Tax Compliance und Steuerstrafrecht.

Prof. Dr. Daniela Seeliger ist Partnerin im Fachbereich Kartellrecht & Investitionskontrolle bei Linklaters LLP in Düsseldorf. Sie hat umfangreiche Expertise im Rahmen kartellrechtlicher Untersuchungen und der Umsetzung von Compliance-Programmen. Sie ist Non-Governmental Advisor im International Competition Network (ICN) und war Mitglied der Kommission „Wettbewerbsrecht 4.0“ des Bundesministeriums für Wirtschaft und Klimaschutz. Seit Dezember 2018 ist sie im Vorstand der Studienvereinigung Kartellrecht e.V. vertreten.

Nina Seydel, Rechtsanwältin, ist als Associate im Bereich Kartellrecht & Investitionskontrolle bei Linklaters LLP in Düsseldorf tätig. Sie ist spezialisiert auf das Investitionskontrollrecht sowie europäisches und deutsches Kartellrecht, mit einem besonderen Fokus auf Kartellverfahren, Compliance, Missbrauchsaufsicht und Fusionskontrolle. Sie vertritt dabei Mandanten vor der Europäischen Kommission und dem Bundeskartellamt sowie vor europäischen und deutschen Gerichten.

Dr. Thomas Sonnenberg ist seit 2016 Rechtsanwalt und Partner bei CMS in Deutschland, Köln. Seine Beratungsschwerpunkte sind Corporate Governance, Compliance und M&A. Vor seiner Tätigkeit für CMS war er fast 25 Jahre lang in Rechtsabteilungen bekannter Unternehmen tätig, so u.a. als Chefsyndikus der Privatbank Sal. Oppenheim jr. & Cie. und der Ferrostaal AG sowie als Group General Counsel und Group Compliance Officer der Hochtief AG und schließlich als Head of Governance für den Private Equity Fonds Triton. Die EU-Hinweisgeberrichtlinie und das deutsche Umsetzungsgesetz hat er von Beginn an mit Vorträgen und Veröffentlichungen intensiv begleitet.

Prof. Dr. Christopher Stehr studierte Politik- und Wirtschaftswissenschaften an der Universität von München. 2003 gründete er die Unternehmensberatung Polymundo, welche den Fokus Globalisierungsthemen, strategische Beratung und Coaching hat. Zwischen 2003 und 2009 war er Habilitand/Assistent an der Fakultät für Mathematik und Wirtschaftswissenschaften der Universität Ulm im Institut für Unternehmensplanung. Später wurde er Professor für Internationales und Interkulturelles Management sowie Studiengangsleiter International Business an der Karlshochschule International University. Von Oktober 2010 bis Dezember 2020 war Stehr Professor für Internationales Management an der German Graduate School of Management and Law (GGS) in Heilbronn. Seitdem ist er bei der von ihm gegründeten Unternehmung Polymundo AG Aufsichtsrat und an verschiedenen Universitäten und Hochschulen (u.a. in Rio de Janeiro, Budapest) als Gastdozent tätig. 2012 initiierte er zudem die sog. Heilbronner Erklärung, eine freiwillige Selbstverpflichtung mit dem Schwerpunkt CSR zwischen aktuell acht Unternehmen der Region Heilbronn-Franken. Seine Forschungsschwerpunkte sind: Internationalisierung von KMU, CSR und Nachhaltigkeit sowie Interkulturelle Kompetenz.

Dr. Thomas Uhlig ist seit 2010 Rechtsanwalt bei KPMG Law. Er ist Partner der Kanzlei und leitet den Bereich Allgemeines Wirtschaftsrecht und Handelsrecht. Er hat langjährige Erfahrung bei der Beratung international tätiger Unternehmen in den Schwerpunkten Compliance- und Governance-Organisation, Produkt-Compliance sowie Lieferketten-Compliance. In diesen Kontext hat er zahlreiche nationale und internationale Projekte geleitet.

Dr. Benjamin Ullrich, M.Jur (Oxford), ist Rechtsanwalt und Partner der Sozietät YPOG in Berlin. YPOG ist eine Spezialkanzlei für Steuern, Fonds, Gesellschaftsrecht (einschließlich Transaktionen und Litigation), Compliance und Banking + Finance. Benjamin Ullrich ist spezialisiert auf Corporate Compliance sowie M&A- und Venture-Capital-Transaktionen. Im JUVE-Handbuch Wirtschaftskanzleien wird er als „stark in Transaktionen“ ausgezeichnet und die Wirtschaftswoche führt ihn als einen der führenden M&A-Anwälte des Landes.

Klaus G. Walter, Rechtsanwalt und Fachanwalt für Strafrecht, berät in Frankfurt am Main mit seiner Kanzlei FM Strafrecht bundesweit Einzelpersonen und Unternehmen in Wirtschaftsstrafsachen zu allen Aspekten laufender Strafverfahren, aber auch präventiv in strafrechtlichen Compliance-Fragen. Zuvor war er als Wirtschaftsstrafrechtsexperte lange Jahre in der Kanzlei Kempf & Dannenfeldt tätig. Walter verteidigt und berät seine Mandanten schwerpunktmäßig im Korruptionsstrafrecht sowie im Bankenstrafrecht, einige von ihnen in öffentlich bekannt gewordenen Gerichtsverfahren.

Dr. Florian Wettner ist Rechtsanwalt und Partner der Sozietät METIS Rechtsanwälte PartG mbB. Er ist spezialisiert auf nationale und internationale Prozessführung und Schiedsgerichtsbarkeit. Florian Wettner verfügt über umfangreiche Erfahrung in der Aufarbeitung komplexer Schadens- und Haftungsfälle und deren versicherungsrechtlicher Begleitung (insbesondere im Bereich D&O- und sonstiger Vermögensschaden-Haftpflichtversicherungen) und berät Unternehmen und deren Organe im Rahmen von Compliance-Untersuchungen.

Michael Wiedmann, Maître en Droit (Poitiers), ist Rechtsanwalt und Partner bei HWCL in Essen und war über 25 Jahre in Unternehmen der Rohstoff- und Automobilindustrie sowie im Handel tätig, zuletzt als Chief Compliance Officer. Er berät Unternehmen aus unterschiedlichen Branchen in allen Compliance-Fragen, insbesondere hinsichtlich Nachhaltigkeitspflichten und ethischer Unternehmensführung. Er unterstützt und berät beim Aufbau und der Weiterentwicklung von Compliance- und Risiko-Managementsystemen, Hinweisgebersystemen und internen Untersuchungen sowie bei Compliance Due Diligence und der Kommunikation mit Aufsichtsbehörden. Michael Wiedmann ist seit 2019 Co-Leiter des Arbeitskreises Menschenrechte in Unternehmen des Deutschen Instituts für Compliance (DICO).

Inhaltsverzeichnis

Vorwort zur 3. Auflage

Verzeichnis der Autorinnen und Autoren

Abkürzungsverzeichnis

Teil 1 Grundlagen, Erfolgsfaktoren und Handlungsstrategien

1. Kapitel Compliance Management – Grundlagen, Orientierungshilfen und Erfolgsfaktoren

I. Grundlagen und Zusammenhänge

1. Anhaltende Bedeutung von Compliance und Compliance Management

2. Compliance Management als Inbegriff regelkonformer Unternehmensorganisation

3. Risiken und Nachteile von Regelverletzungen und „Non-Compliance“

4. Funktionen von Compliance und Compliance Management

5. Compliance Management als Daueraufgabe im dynamischen Umfeld

6. Compliance als Basis für „Good Corporate Governance“

7. Compliance und Reputationsmanagement

II. Vorgaben und Orientierungshilfen für das Compliance Management

1. Grundlagen der Compliance-Pflicht – Regelungsbeispiele

2. Compliance-Pflicht als rechtsformübergreifende Ausprägung der Leitungsverantwortung

3. Rechtsprechung zur Compliance-Pflicht

4. Compliance-Anforderungen anderer Rechtsordnungen

a) UK Bribery Act (Vereinigtes Königreich)

b) Leitfaden des Department of Justice (USA)

5. Deutscher Corporate Governance Kodex

6. Erkenntnisse des Risikomanagements

a) Besonderheiten von Compliance-Risiken

b) Mögliche Berücksichtigung integrativer Perspektiven

7. Compliance-Standards als Orientierungshilfe (Beispiel IDW PS 980)

III. Erfolgsfaktoren für ein wirksames Compliance Management

1. Individuelle Konzeption auf Basis des Compliance-Risikoprofils

2. Entwicklung einer passenden Compliance-Strategie

a) Wahl eines unternehmensspezifischen Organisationsmodells

b) Klärung von Zuständigkeiten und Delegationsfragen

c) Fokussierung und Prioritätensetzung bei Compliance-Maßnahmen

d) Berücksichtigung des besonderen Compliance-Risikoprofils

aa) Systematische Identifikation von Compliance-Risiken

bb) Analyse und Bewertung

cc) Implementierung von Risikosteuerungsmaßnahmen

dd) Berichterstattung zu Compliance-Risiken

ee) Durchführung regelmäßiger Compliance-Audits

3. Förderung und Incentivierung von Regeltreue (Compliance-Kultur)

aa) Compliance Commitment durch die Unternehmens- und Verbandsleitung

bb) Akzeptanz als Grundlage der Regelbefolgung

cc) Kommunikation von Werten und Umgang mit „Regelungslücken“

4. Verfassung von Regeln, Richtlinien und Werten

5. Unabhängige Positionierung der Compliance Officer

6. Verständliche Schulungen und Fortbildungsprogramme

a) Bedarfsanalyse und Zielgruppenorientierung

b) Positionierung von Compliance als „Business Enabler“

c) Regelmäßige Anpassung der Fortbildungsformate

d) Aktive Einbeziehung der Stakeholder

7. Integration von Compliance-Themen in die Geschäftsprozesse

8. Koordination der Zusammenarbeit mit anderen Unternehmensfunktionen

9. Einrichtung von wirksamen Kontrollen und Feedback-Prozessen

10. Aufklärung von Verstößen und Betrieb von Hinweisgebersystemen

11. Konsequente Sanktionierung von regelwidrigem Verhalten

12. „Legal Monitoring“ und regelmäßige Aktualisierung

13. Angemessene Dokumentation

IV. Vorteile eines effektiven Compliance Managements

1. Prävention und Reduzierung der Kostenrisiken und Nachteile von „Non-Compliance“

2. Schutz von Unternehmen, Leitungsorganen und Unternehmensangehörigen

3. Sicherung der Reputation und Vertrauenserhalt der Stakeholder

4. Eröffnung und Wahrung rechtlicher Chancen und Gestaltungsoptionen

5. Vorteile beim Marketing und im Wettbewerb

6. Verteidigungsmöglichkeiten bei „Non-Compliance“

7. Verbesserung von Strukturen und Prozessen

V. Zusammenfassung und Empfehlungen

2. Kapitel Compliance Management und Strafrecht

I. Einführung in die Criminal Compliance

II. Strafrechtliche Grundlagen der Compliance-Verpflichtung

III. Typische strafrechtliche Compliance-Risiken

1. Korruption

a) Vorteilsgewährung (§ 333 StGB)

b) Bestechung (§ 334 StGB)

c) Bestechung von Mandatsträgern (§ 108e StGB)

d) Bestechung im geschäftlichen Verkehr (§ 299 Abs. 2 StGB)

e) Bestechlichkeit im geschäftlichen Verkehr (§ 299 Abs. 1 StGB)

f) Bestechung im Gesundheitswesen (§ 299b StGB)

g) Auslandskorruption

h) Korruptionsdelikte im weiteren Sinne

2. Untreue (§ 266 StGB)

a) Generierung von Bestechungsgeld

b) Zahlung von Bestechungsgeld

3. Steuerverkürzung (§§ 370ff. AO)

IV. Strafrechtliche Risiken der Non-Compliance für die Verantwortlichen des Unternehmens

1. Originäre strafrechtliche Verantwortlichkeit

a) Verantwortlichkeit der Geschäftsleitung

b) Gremienentscheidungen

c) Delegation von Verantwortungsbereichen

d) Verantwortlichkeit des Compliance Officers

e) Aufsichtsrat

2. Innerbetriebliche Anweisungen/Täterschaft kraft Organisationsherrschaft

3. Fahrlässigkeitshaftung (sog. Organisationsverschulden)

4. Verletzung der Aufsichtspflicht in Betrieben und Unternehmen (§ 130 OWiG)

V. Strafrechtliche Risiken der Non-Compliance für das Unternehmen

1. (Unternehmens-)Strafrecht

a) Überblick

b) Einziehung

c) Das Unternehmen als Nebenbeteiligter im Strafverfahren

2. Ordnungswidrigkeitenrecht

a) Verbandsgeldbuße gem. § 30 OWiG

b) Das Unternehmen als Nebenbeteiligter im Verfahren wegen § 30 OWiG

c) Einziehung (§ 29a OWiG)

VI. Sonstige Risiken für das Unternehmen und seine Verantwortlichen

1. Blacklisting und Vergabesperren

a) Registereintragungen

aa) Bundeszentralregister

bb) Gewerbezentralregister

cc) Vergabe- bzw. Wettbewerbsregister

dd) Sonstige Register

b) Vergaberechtliche Konsequenzen

2. Inhabilität (§§ 70 StGB, 6 GmbHG, 76 AktG)

3. Aufsichtsrechtliche Konsequenzen

VII. Strafrechtliche Risiken innerhalb des Compliance-Prozesses („Failed Compliance“)

3. Kapitel Compliance Management als Schnittstellenaufgabe – Überlegungen und Empfehlungen zur erfolgreichen Zusammenarbeit mit anderen Unternehmensfunktionen

I. Einleitung

II. Unternehmensfunktionen und ihre Interaktion im Sinne der Compliance

1. Geschäftsleitung

2. Aufsichtsrat

3. Rechtsabteilung

4. Personalabteilung

5. Betriebsrat

6. Finanzfunktion

7. Innenrevision

8. Wirtschaftsprüfer

9. Unternehmenskommunikation

10. Andere42

11. Von Compliance zu GRC – der Weg zu einer integrierten Governance-, Risiko- und Compliance-Funktion und die Herausforderungen durch ESG

12. Fallbeispiel

III. Fazit

4. Kapitel Einführung eines „Code of Conduct“

I. Einleitung

II. Ausgestaltung

1. Erscheinungsformen

2. Typische Regelungen

III. Einführung eines „Code of Conduct“

1. Individualvertragliche Umsetzung

a) Weisungsrecht des Arbeitgebers

b) Vertragliche Vereinbarung

c) Änderungskündigung

2. Betriebsvereinbarung

IV. Datenschutzrechtliche Implikation

V. Mitbestimmungsrecht des Betriebsrats

5. Kapitel Hinweisgebersysteme – Aufbau und Management

I. Einleitung

1. Begriffsbestimmung

2. Gründe für die Einführung eines Hinweisgebersystems („Whistleblowing-Systems“)

3. Aktuelle Rechtliche Rahmenbedingungen

a) Internationale Anforderungen

aa) Sarbanes-Oxley Act (SOX) (USA)

bb) Dodd-Frank Act (USA)

cc) UK Bribery Act31 (Großbritannien)

dd) OECD-Übereinkommen vom 17.12.1997

b) Rechtslage in Deutschland

aa) Gesellschaftsrechtliche Vorgaben

bb) Ordnungswidrigkeitenrechtliche Vorgaben

cc) Vorgaben des Deutschen Corporate Governance Kodex

dd) Vorgaben aus der Rechtsprechung

II. Die Vorgaben des deutschen Hinweisgeberschutzgesetzes

1. Ziel des Gesetzes

2. Überblick über den Inhalt des Hinweisgeberschutzgesetzes

3. Sachlicher Anwendungsbereich

4. Persönlicher Anwendungsbereich des Hinweisgeberschutzgesetzes

5. Voraussetzungen für den Schutz von Hinweisgebern

a) Gemeinsame Schutzvoraussetzungen

b) Besonderheiten in Abhängigkeit vom Meldeweg

aa) Interne Meldungen gemäß § 17 HinSchG

bb) Externe Meldungen gemäß § 27 HinSchG

cc) Offenlegung gemäß § 32 HinSchG

6. Pflicht zur Einrichtung eines internen Hinweisgebersystems

a) Unternehmen des privaten Sektors

b) Juristische Personen des öffentlichen Sektors

7. Gesetzliche Anforderungen an ein internes Hinweisgebersystem

a) Wahrung der Vertraulichkeit

b) Meldewege

c) Interne Meldestelle

d) Exkurs: Interne Meldestellen im Konzern

e) Bearbeitung der eingehenden Meldungen

f) Dokumentation und Datenschutz

8. Pflicht zur Einrichtung externer Meldestellen

9. Schutzmaßnahmen

a) Verbot von Repressalien und Schutz von Hinweisgebern

b) Sanktionen bei Verstößen

III. Aufbau/Einführung eines Hinweisgebersystems im Unternehmen

1. Entscheidungen hinsichtlich der konkreten Ausgestaltung

a) Organisation

b) Ausgestaltungsmöglichkeiten

aa) Kreis der Hinweisgeber

bb) Zentrale Meldestelle vs. lokale Meldestellen

cc) Meldekanäle

dd) Arten der meldbaren Verstöße

ee) Anonyme Meldungen

ff) Regelungen zur Einführung eines Hinweisgebersystems

2. Kommunikation

3. Datenschutzrechtliche Regelungen

IV. Die praktische Arbeit mit einem Hinweisgebersystem

1. Schutz des Hinweisgebers vor Nachteilen

2. Schutz des Betroffenen

3. Datenschutzkonformer Umgang mit eingegangenen Hinweisen

V. Fazit

6. Kapitel Kommunikationsmanagement und Schulungen (analog und remote)

I. Einleitung

II. Grundzüge zur Kommunikation in der Unternehmenspraxis

1. Relevanz der Kommunikation im Unternehmen und bei Compliance

2. Kommunikationsmodelle

a) Modell zu Konfliktarten als Grundlage für die Kommunikation

b) Praxisrelevantes Beispiel

III. Ausgewählte Instrumente der Compliance-Kommunikation

1. Tone from the Top

2. Persönlicher Kontakt mit dem Compliance Officer

3. Zusammenarbeit des Compliance Officers mit Schlüsselfunktionen im Unternehmen

4. Schriftliche Informationen an die Mitarbeiter

5. Compliance im firmeneigenen Intranet

IV. Schulungen

1. Persönliche Schulungen durch die Compliance-Funktion

2. Schulungen mit klassischem E-Learning

3. Digitale Schulungen: Schulungen mit Webinaren, Podcasts, Livestreams oder vertonten Präsentationen

4. Unterstützung dezentraler Compliance-Funktionen: das Schulungshandbuch

V. Die „Top 5 Stolpersteine“ in der Compliance-Kommunikation und Lösungsvorschläge

1. Fehlende, verspätete oder missverständliche Information

a) Problemstellung

b) Lösungsvorschlag

2. Mangelnde Authentizität („Nicht gelebte Hochglanzaussagen“)

a) Problemstellung

b) Lösungsvorschlag

3. Fehler im Kommunikationsmanagement: Budget- und Ressourcenmangel

a) Problemstellung

aa) Unzureichende Übersetzung eines Code of Conduct (CoC)

bb) Unzureichendes Schulungsbudget

b) Lösungsvorschlag

4. Probleme mit der Technik

a) Problemstellung

b) Lösungsvorschlag

5. Fehler im Kommunikationsmanagement von Compliance aufgrund von Kulturunterschieden

a) Problemstellung

b) Lösungsvorschlag

VI. Fazit zur Compliance-Kommunikation

7. Kapitel Auswirkungen des ISO-Standards 37301 auf die Prüfung von Compliance-Management-Systemen nach IDW PS 980 und Vergleich mit ISO 31022*

I. Einleitung

II. Zielsetzung und Zielgruppe

1. Ausgangslage

2. Zielsetzung des IDW PS 980

3. Zielsetzung des ISO 37301:2021

4. Vergleich

III. Unterschiedliche Regelungstiefe zur Ausgestaltung des CMS

1. CMS-bezogene Regelungsinhalte des IDW PS 980

2. Regelungsinhalte des ISO 37301

IV. ISO 37301 als geeignetes, angemessenes Rahmenkonzept für ein CMS

1. Anforderungen des IDW PS 980 an ein Rahmenkonzept

2. Vergleich ISO 37301 Anforderungen mit IDW PS 980-Grundelementen

V. Zwischenergebnis

VI. Die Legalitätskontrolle als Bindeglied zwischen Risiko- und Compliance-Management?

1. Zielsetzung des ISO 31022

2. Regelungsinhalte des ISO 31022

3. Vergleich zum Compliance-Risiko/Vergleich zur ISO 37301

4. Zwischenergebnis

VII. Argumente für eine Ausrichtung des CMS nach ISO 37301

1. Basis für Ermessensentscheidung und Compliance-Richtlinie

2. Beurteilung der angemessenen Einrichtung eines wirksamen CMS

VIII. Zusammenfassung

8. Kapitel Management interner Untersuchungen

I. Einleitung

II. Entscheidung über die Durchführung interner Untersuchungen

1. Entscheidungsbefugte Stellen

2. Pflicht zur Aufklärung konkreter Verdachtsfälle

3. Interne Untersuchung oder externe Ermittlung?

a) Bereits laufendes behördliches Verfahren

b) (Noch) kein behördliches Verfahren

III. Vornahme von Eilmaßnahmen

1. Einrichtung einer zentralen Koordinierungsstelle

2. Maßnahmen der Daten- und Beweissicherung

3. Arbeitsrechtliche Maßnahmen

4. Beachtung von Informations- und Berichtspflichten

IV. Planung der internen Untersuchung

1. Grundlagen der Planung

a) Beachtung von Recht- und Verhältnismäßigkeit

b) Beachtung von Risiken und Folgen der internen Untersuchung

2. Festlegung des Untersuchungsgegenstands

3. Bestimmung des Untersuchungsteams und der Verantwortlichkeiten

a) Auswahl von Mitarbeitern und externen Beratern

b) Festlegung von Verantwortlichkeiten und Berichtswegen

4. Bestimmung und Vorbereitung der Informationsquellen

a) Relevante Informationsquellen

aa) Dokumente

bb) Elektronische Daten und E-Mails

cc) (Ehemalige) Mitarbeiter

b) Notwendige Abstimmung der geplanten Untersuchungsmaßnahmen

aa) Beteiligung von Betriebsrat oder Sprecherausschuss

bb) Abstimmung mit Ermittlungs- und Aufsichtsbehörden

c) Einrichtung eines Datenraums oder eines „Projektportals“

5. Sicherung der Vertraulichkeit

a) Zugriffsmöglichkeiten Dritter

aa) Beschlagnahme durch Ermittlungsbehörden

bb) Herausgabe von Unterlagen an Versicherer

b) Begrenzung der E-Mail- und sonstigen schriftlichen Kommunikation

c) Kennzeichnung und Aufbewahrung geschützter Kommunikation

6. Erstellen eines Untersuchungsplans

V. Durchführung der internen Untersuchung

1. Allgemeine Untersuchungsgrundsätze

2. Dokumentation der Untersuchung

3. Erhebung und Auswertung von Dokumenten

4. Erhebung und Auswertung von elektronischen Daten

5. Befragung von Mitarbeitern

6. Auswertung und Aufarbeitung der Untersuchungsergebnisse

VI. Fazit

Teil 2 Übergreifende Themen und Herausforderungen

Abschnitt 2.1 Risiko und Governance

9. Kapitel Risiko- und Chancenmanagement – Erfolgsfaktoren für eine wirksame Umsetzung

I. Corporate Governance und das Management von Chancen und Risiken

1. Grundlagen und Einführung

2. Die Odyssee und der Umgang mit Risiken

3. Risikomanagement als zentraler Erfolgsfaktor

4. Überblick über aktuelle regulatorische Entwicklungen

5. Krisenfrüherkennung gemäß Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG)

6. FISG fordert Internes Kontrollsystem und Risikomanagementsystem

II. Abgrenzung des Risiko- und Chancenbegriffs

III. Nutzen eines wirksamen Chancen- und Risikomanagements

IV. Unterscheidung von Ursachen – Risiken – Wirkungen

V. Verknüpfung von Risikomanagement und Strategie

VI. Der Risikomanagement-Prozess als Regelkreis

VII. Methoden zur Risikoidentifikation und -bewertung

VIII. Aggregation von Risiken

IX. Maßnahmen zur Risikosteuerung

X. Unterschiedliche Reifegrade im Risikomanagement

XI. Fazit und Ausblick

10. Kapitel Auditverfahren: Compliance als Dauerpflicht1

I. Einleitung

II. Die Dauerpflicht zur Sicherstellung der dauerhaften Wirksamkeit des CMS nach DIN und EMAS

III. Die Beweislast für Vorstände und Geschäftsführer

IV. Die Unvorhersehbarkeit von Rechtsverstößen als Grund für Compliance als Dauerpflicht

V. Zertifikate sind bloße Momentaufnahmen ohne Nachweis dauerhafter Wirksamkeit eines CMS

VI. Das Stichprobenargument in Rechtsprechung und Literatur

VII. Der erfolglose Entlastungsversuch durch den Hinweis auf Regeln ohne Anwendung

VIII. Die Haftung von Vorständen und Geschäftsführern für fehlende und fehlerhafte CMS nach der Rechtsprechung

IX. Die Haftung von Auditoren und Umweltgutachtern gegenüber dem zertifizierten Unternehmen nach der Expertenhaftung

X. Die Expertenhaftung von Auditoren und Umweltgutachtern gegenüber Dritten

XI. Aufsicht und Sanktionen von Behörden gegen Umweltgutachter und Auditoren für falsche Zertifikate nach dem Auditverfahren

XII. Der Gesetzeszweck des UAG

XIII. Die Zulassung

XIV. Die Aufsicht

XV. Die Konkretisierung des UAG durch Richtlinien des Umweltgutachterausschusses

XVI. Mehr Risiken durch Anordnungen, Untersagungen und Widerruf der Zulassung für Umweltgutachter und Auditoren durch Hinweise auf Rechtsverstöße nach dem Hinweisgeberschutzgesetz

XVII. Mehr Risiken für Umweltgutachter und Auditoren durch den erweiterten Kreis der Hinweisgeber außerhalb der Unternehmensbelegschaft

XVIII. Fazit

11. Kapitel Governance, Risk und Compliance im Mittelstand – Zusammenhänge und Abhängigkeiten

I. Einleitung – Die Notwendigkeit der Einrichtung von Instrumenten zur Überwachung von Unternehmen

II. Das System der Unternehmensüberwachung

1. Überblick über das Gesamtsystem

2. Externe Komponenten der Unternehmensüberwachung

3. Interne Komponenten der Unternehmensüberwachung

III. Die Verknüpfung der einzelnen Elemente der Unternehmensüberwachung

1. Der GRC-Ansatz

2. Das interne Kontrollsystem und die anderen Elemente der Überwachung des Unternehmens

3. Compliance- und Risikomanagement

4. Risikomanagement und Controlling

5. Interne Revision, Compliance und Risikomanagement

6. Fazit

IV. Grundkonzept für die Ausgestaltung eines integrierten Systems der Überwachung für mittelständisch geprägte Unternehmen

1. Bestimmung der Zielgruppe der Unternehmen

2. Zielstellung für die Einführung eines integrierten Systems der Überwachung

3. Vorgehensweise

a) Risikoanalyse

b) Analyse bestehender Strukturen

c) Ermittlung des Anpassungsbedarfs

d) Umsetzung

4. Fazit

Abschnitt 2.2 Datenschutz und IT-Security

12. Kapitel Datenschutz im Compliance Management

I. Einleitung

II. Der konzeptionelle Schutz personenbezogener Daten

1. Gesetzliche Grundlagen

a) Datenschutzgrundverordnung

b) Bundesdatenschutzgesetze

c) Landesdatenschutzgesetz

d) Europäische Richtlinien und Verordnungen

e) Weitere Gesetze mit datenschutzrechtlichen Vorgaben

2. Zentrale Grundsätze

a) Verbot mit Erlaubnisvorbehalt

b) Prinzip der Verhältnismäßigkeit

c) Datensparsamkeit

d) Transparenz

e) Zweckbindung

3. Grundbegriffe

a) Personenbezogene Daten

b) Verantwortliche Stelle

c) Umgang mit personenbezogenen Daten

aa) Erheben

bb) Speichern

cc) Verändern

dd) Übermitteln

d) Auftragsverarbeitung

III. Betrieblicher Datenschutz

1. Pragmatischer Ansatz: Wo fange ich an?

2. Beratungspraxis

a) Der betriebliche Datenschutzbeauftragte

b) Prozess der Datenschutzberatung

c) Praxisrelevante Beispiele

3. Implementierung

4. Zusammenarbeit mit Behörden

IV. Instrumente der datenschutzrechtlichen Compliance

1. Tone from the Top

2. Interne Richtlinien

a) Datenschutzrichtlinie

b) IT-Nutzungsrichtlinie

c) E-Mail-Policy

d) Social-Media und Messaging-Dienste

e) IT-Datenschutzmanagement-Richtlinie (Datenschutzmanagementkonzept)

f) Archivierungs- und Löschungsrichtlinie

3. Verzeichnis von Verarbeitungstätigkeiten

4. Interne Kommunikation und Awareness

a) Der Datenschutz-Newsletter

b) Intranet

c) Der „Datenschutz-Tag“ und Fachtagungen

5. Schulungen

a) Persönliche Schulungen

b) E-Learning/Webinars

c) Unterstützung dezentraler Compliance-Funktionen

V. Effektive Datenschutzüberwachung

1. Audits und Maßnahmenpläne/Quick Self-Assessment

2. IT-Infrastruktur-Reviews und Koordinierung mit IT-Security

3. Incident- und Regel-Reporting aus den Betrieben

4. Der Datenschutzjahresbericht

5. Bericht an Aufsichtsrat/Compliance-Bericht/Audit Committee

6. Zusammenarbeit mit dem Compliance Officer, IT-Security und Revision

VI. Beschäftigtendatenschutz

1. Bedeutung des Beschäftigtendatenschutzes für Compliance

2. Rechtsgrundlagen für den Umgang mit Mitarbeiterdaten

a) Kollektivvereinbarungen zur Nutzung von Mitarbeiterdaten

b) Rechtfertigende Einwilligung des Mitarbeiters

c) Arbeitsvertragliche Regelungsmöglichkeiten

d) Gesetzliche Erlaubnistatbestände

e) Internationaler Datenverkehr mit Beschäftigtendaten

3. Risiken beim Umgang mit Beschäftigtendaten

a) Phase 1: Begründung des Arbeitsverhältnisses/„Boarding-Phase“

b) Phase 2: Durchführung des Arbeitsverhältnisses/„On Board-Phase“

c) Phase 3: Beendigung des Arbeitsverhältnisses/„Off Boarding-Phase“

4. Zusammenarbeit mit dem Betriebsrat

5. Personalleiter und Betriebsrat als Teil des Datenschutz- und Compliance-Teams

6. Hinweise, Muster und Beispielsfall

a) Hinweise zur Regelung der Nutzung von Beschäftigtendaten

b) Hinweise zur Regelung der Nutzung von Internet und E-Mail

c) Beispielsfall zur Kontrolle bei Verdacht gegen Mitarbeiter

d) Beispielsfall zum Auskunftsrecht eines Mitarbeiters bei Untersuchungen von Compliance-Verstößen

VII. Fazit

13. Kapitel IT-Compliance – Software-Lizenzmanagement, Blockchain und Nutzung von Daten

I. Rechtliche Herausforderungen der fortschreitenden Digitalisierung und Vernetzung

II. Software-Lizenzmanagement

1. Rechtliche Grundlagen der Nutzung von Computerprogrammen

2. Besondere Arten von Software, insbesondere Open-Source-Software

3. Software-Lizenzmanagement im Rahmen verantwortungsbewusster Unternehmensführung

4. Rechtsfolgen einer Unterlizenzierung

III. Software-Lizenzmanagement im Rahmen von Cloud-Diensten

1. Nutzungshandlungen beim Cloud Computing

a) Recht der öffentlichen Zugänglichmachung der Software

b) Recht zur Vervielfältigung der Software

2. Lizenzmanagement im Zusammenhang mit Cloud Computing-Diensten

IV. Rechtsrahmen von Softwarelizenz-Audits

1. Rechtliche Grundlagen für einen Softwarelizenz-Audit

2. Vertragliche Ausgestaltung eines Softwarelizenz-Audits

V. Rechte an und Zugang zu nicht-personenbezogenenen Daten64

1. Regelungsinhalt und Struktur des Data Act

2. Datenweitergabe unter dem Data Act

a) Allgemeine Pflichten

b) Erfasste Datenkategorien

c) Datenzugriffsrechte für Nutzer

d) Recht der Nutzer auf Datenweitergabe an Dritte

3. Verhältnis zum Datenschutzrecht

4. Nutzung durch und Weitergabe von Daten durch den Dateninhaber

5. Missbräuchliche Vertragsklauseln

6. Sanktionen

VI. Wechsel von Datenverarbeitungsdiensten

VII. Blockchain und Smart Contracts

VIII. Implementierung eines IT-Compliance-Systems

14. Kapitel Cybersecurity, IT-Sicherheit und Krisenmanagement

I. Analyse

1. Ziele der IT-Sicherheit

2. Cybercrime im Wandel

a) Ideelle Hintergründe

b) Materielle Hintergründe

3. Entwicklungen bei Schutzmaßnahmen

II. Vorbeugende Maßnahmen

1. Adressaten

a) KRITIS-Betreiber

b) Anbieter von Telemediendiensten

c) Anbieter von Telekommunikationsdiensten

d) Bank- und Finanzwesen

e) Energiewirtschaft

f) Geschäftsführung von Aktiengesellschaften und GmbHs

2. Inhalt der gesetzlichen Verpflichtungen

a) BSIG

aa) Pflichten der KRITIS-Betreiber

bb) Befugnisse des BSI

b) KRITIS-Dachgesetz

c) DSGVO

d) BDSG

e) TTDSG und TKG

aa) TTDSG

bb) TKG

cc) Verhältnis zur DSGVO

f) KWG, ZAG, MaRisk etc.

aa) MaRisk (Mindestanforderungen an das Risikomanagement)

bb) ZAG164

cc) § 27 Abs. 1 ZAG

dd) DORA

ee) Konkurrenz zum BSIG

g) EnWG

h) NIS-Richtlinien

i) §§ 76, 91, 93 AktG

aa) Ausgestaltung des IT-Risikomanagementsystems

bb) Anforderungen nach DSGVO

cc) Verantwortungsverteilung innerhalb der Geschäftsleitung

dd) Dokumentationspflicht

3. Unternehmensinterne Vorkehrungen

a) Interne Vorgaben

b) Aktuelle technisch-organisatorische Schutzmaßnahmen

III. Der Krisenfall

1. Hacker-Angriffe erkennen

2. Rechtliche Konsequenzen und Handlungsoptionen

a) Melde- und Informationspflichten

aa) DSGVO

(1) Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)

(2) Meldung an die Betroffenen (Art. 34 DSGVO)

(3) Sanktionen

bb) BDSG

cc) BSIG

dd) ZAG

ee) Meldepflichten für Energiewirtschaftsunternehmen

ff) TMG

gg) TKG

hh) Sonstige Informationspflichten

b) Werkzeuge zur Abwehr von Cyberangriffen

3. Interne und externe Kommunikation

4. Mittel- und längerfristige Maßnahmen

IV. Ausblick

Abschnitt 2.3 ESG und Governance

15. Kapitel Corporate Social Responsibility und Corporate Compliance – Entwicklungslinien gesellschaftlicher und juristischer Verantwortung von Unternehmen

I. Einleitung

1. „Shareholder Value“ und „Stakeholder Value“ – eine „Mission Impossible“ für Unternehmen?

2. CSR und Unternehmensführung – Auswirkungen auf die Unternehmen?

3. CSR und Unternehmensführung – Wechselwirkungen mit dem Compliance Management

II. Grundlagen

1. Corporate Social Responsibility

a) Bedeutungswandel des Begriffsverständnisses

b) Konzeptionen und Modelle

c) Definitionen

2. Corporate Governance

a) Begriffsverständnis

b) Corporate Governance und Corporate Social Responsibility

c) Gesellschaftsrecht und Deutscher Corporate Governance Kodex

3. Corporate Compliance

a) Begriffsverständnis

b) Corporate Compliance und Corporate Governance

c) Corporate Compliance als Organisationspflicht

d) Aktuelle gesetzliche Entwicklungen in Deutschland und der Europäischen Union

III. Corporate Social Responsibility und Regulierungsebenen

1. Einführung in die CSR-Regulierung

a) Regulierungsebenen

b) Regulierungsansätze

c) Rechtsqualität

d) Reputationsmanagement

2. Beispiele für CSR-Regulierung

a) Globale Regulierungsebene

aa) OECD-Leitsätze für multinationale Unternehmen

bb) GRI-Berichtsstandards

cc) UN Global Compact

dd) ISO 26000

b) Internationale Regulierungsebene

c) Supranationale bzw. europäische Regulierungsebene

d) Nationale bzw. deutsche Regulierungsebene

3. CSR-Normenflut als Herausforderung für Unternehmen

IV. Corporate Social Responsibility und Corporate Compliance

1. Einführung

2. Allgemeine Relevanz von CSR-Normen für die Corporate Compliance

3. Konkrete Relevanz von CSR-Normen sowie sonstiger CSR-Themen für die Corporate Compliance

a) CSR-Normen und CSR-Themen im Compliance-Risikomanagementprozess

aa) Schritt 1: Definition der Compliance-Risiken

bb) Schritt 2: Identifikation der Compliance-Risiken

cc) Schritt 3: Analyse und Bewertung der Compliance-Risiken

dd) Schritt 4: Berichterstattung der Compliance-Risiken

ee) Schritt 5: Steuerung der Compliance-Risiken

ff) Schritt 6: Monitoring der Compliance-Risiken

b) Verknüpfung von CSR- und Compliance-Risiken

V. Zusammenfassung

16. Kapitel „ESG-Compliance“: Herausforderungen des Nachhaltigkeitsreportings

I. Einleitung: Nachhaltigkeit, Corporate Governance und die Rolle von Compliance

II. Status quo und bald Historie: Die CSR-Richtlinie und das CSR-Richtlinie-Umsetzungsgesetz von 2017

1. Zielsetzungen der CSR-Richtlinie und des CSR-Richtlinie-Umsetzungsgesetzes

2. Neuausrichtung des Nachhaltigkeitsreportings

a) Bereits vor dem CSR-RUG vorhandene nichtfinanzielle Berichtspflichten im deutschen Bilanzrecht

b) Sog. Soft-Law-Ansätze als Rahmenwerke für das CSR-Reporting

c) Paradigmenwechsel

3. Adressaten der CSR-Berichtspflichten nach dem CSR-RUG

4. Berichtsanforderungen im Rahmen des Reportings nach der bislang geltenden CSR-Richtlinie

a) Berichtsvarianten: Die nichtfinanzielle Erklärung und der gesonderte Bericht

b) Inhalte, Relevanzmaßstab und Methodik des CSR-Reportings

c) Muster: Struktur und Ansätze zur Gestaltung des CSR-Reportings

d) Die Möglichkeit der Verwendung von Rahmenwerken

5. Nichtangaben, unrichtige Angaben und ihre Folgen

a) Der „Comply or Explain“-Grundsatz

b) Ein Sonderfall: Das (vorübergehende) Weglassen nachteiliger Angaben

c) Prüfungen

d) Verstöße, Säumnisse und Sanktionen

III. Die CSRD: Neue Anforderungen im Nachhaltigkeitsreporting

1. Adressaten und Konzernprivileg

2. Überblick über die ESRS

a) Regelungsinhalte des Set 1 der ESRS

b) Der Grundsatz der doppelten Wesentlichkeit und weitere Verfahrensvorgaben

c) Verortung im Lagebericht und Prüfung

d) Erleichterungen im Rahmen der Implementierung des Reportings

IV. Der Referentenentwurf zum CSRD-Umsetzungsgesetz und ein weitergehender Ausblick

17. Kapitel Compliance im Kontext nachhaltigen Supply Chain Managements – Die betriebswirtschaftliche Perspektive

I. Einleitung

II. Nachhaltiges Lieferantenmanagement

1. Lieferantenbewertung

2. Lieferantenentwicklung

3. Lieferantenauswahl

4. Lieferantenmonitoring

III. Unterschiede entlang der Lieferkette

IV. Menschenrechtsprobleme und Due Diligence – „beyond compliance“

V. Praxisrelevanz

VI. Fazit

18. Kapitel Lieferkettensorgfaltspflichtengesetz (LkSG) – Einführung und praktische Hinweise zur Umsetzung der Sorgfaltspflichten im Unternehmen

I. Wesentliche Regelungen des LkSG im Überblick

1. Entstehung, Zielsetzung und Anwendungsbereich

2. Definition der Lieferkette

a) Lieferkette nach § 2 Abs. 5 LkSG

b) Erfasste Handlungsbereiche im Rahmen der Lieferkette

3. Menschenrechtliche und umweltbezogene Risiken und Pflichten

a) Menschenrechtliche Risiken

b) Umweltbezogene Risiken

c) Menschenrechtsbezogene und umweltbezogene Pflichten

II. Praktische Hinweise zur Umsetzung der Sorgfaltspflichten im

1. Verantwortlichkeiten im Rahmen der Einhaltung der

2. Sorgfaltspflichten im Unternehmen nach dem LkSG

a) Synergien erkennen – Compliance-Management-System nutzen

b) Umsetzungsprojekt: Vorüberlegungen zur Implementierung der Sorgfaltspflichten

c) Die Sorgfaltspflichten im Überblick

aa) Angemessenes und wirksames Risikomanagement (§ 3 Abs. 1 Nr. 1 LkSG)

bb) Festlegung einer betriebsinternen Zuständigkeit (§ 3 Abs. 1 Nr. 2 LkSG)

cc) Risikoanalyse (§ 3 Abs. 1 Nr. 3 LkSG)

(1) Ziele der Risikoanalyse

(2) Bedeutung der Risikoanalyse und Vorüberlegungen

(3) Umfang und Inhalt der Risikoanalyse

(4) Regelmäßige und anlassbezogene Risikoanalyse

(5) Unternehmensinterne Kommunikation der Risikoanalyse

dd) Abgabe einer Grundsatzerklärung (§ 3 Abs. 1 Nr. 4 LkSG)

ee) Verankerung von Präventionsmaßnahmen (§ 3 Abs. 1 Nr. 5 LkSG)

(1) Präventionsmaßnahmen im eigenen Geschäftsbereich (§ 6 Abs. 3 LkSG)

(2) Präventionsmaßnahmen gegenüber unmittelbaren Zulieferern (§ 6 Abs. 4 LkSG)

(3) Wirksamkeit und Aktualisierung der Präventionsmaßnahmen (§ 6 Abs. 5 LkSG)

ff) Abhilfemaßnahmen (§ 3 Abs. 1 Nr. 6 LkSG)

(1) Abhilfemaßnahmen im eigenen Geschäftsbereich (§ 7 Abs. 1 LkSG)

(2) Abhilfemaßnahmen bei einem unmittelbaren Zulieferer (§ 7 Abs. 2 LkSG)

(3) Wirksamkeit und Aktualisierung der Abhilfemaßnahmen (§ 7 Abs. 4 LkSG)

gg) Einrichtung eines Beschwerdeverfahrens (§ 3 Abs. 1 Nr. 7 LkSG)

hh) Risiken bei mittelbaren Zulieferern (§ 3 Abs. 1 Nr. 8 LkSG)

(1) Substantiierte Kenntnis (§ 9 Abs. 3 LkSG)

(2) Maßnahmen nach Erlangung von substantiierter Kenntnis (§ 9 Abs. 3 LkSG)

ii) Dokumentation und Berichterstattung (§ 3 Abs. 1 Nr. 9 LkSG)

(1) Dokumentationspflichten (§ 10 Abs. 1 LkSG)

(2) Berichtspflicht (§ 10 Abs. 2 LkSG)

III. Das BAFA als zuständige Behörde für die Kontrolle und Durchsetzung der Regelungen des LkSG

1. FAQs, Handreichungen und sonstige Informationsquellen

2. Berichtspflicht und Kontrollen

a) Elektronische Berichtspflicht der Unternehmen

b) Kontrollbefugnisse des BAFA

c) Anordnungen und Maßnahmebefugnisse des BAFA

IV. Sanktionen

1. Bußgeld und Bemessungsgrundlage

2. Ausschluss von der Vergabe öffentlicher Aufträge

V. Zivilrechtliche Haftung und Prozessstandschaft

VI. Auswirkungen der europäischen Lieferkettenregelung (CSDDD) – Anpassung des LkSG

19. Kapitel Menschenrechtsbeauftragte und Beschwerdebeauftragte nach dem LkSG

I. Einleitung

II. Menschenrechtsbeauftragte

1. Begrifflichkeiten und gesetzliche Grundlagen

2. Überwachungsaufgaben

3. Anforderungen an Menschenrechtsbeauftragte

a) Qualifikation

b) Unparteilichkeit, Unabhängigkeit und Weisungsungebundenheit

c) Verschwiegenheit

4. Ernennung

5. Stellung im Unternehmen

6. Arbeitsrechtlicher Schutz

7. Auslagerung der Funktion

8. Haftung

III. Beschwerdebeauftragte

1. Begrifflichkeiten und gesetzliche Grundlagen

2. Aufgaben

3. Anforderungen an Beschwerdebeauftragte

a) Qualifikation

b) Unparteilichkeit, Unabhängigkeit und Weisungsungebundenheit

c) Verschwiegenheit

4. Ernennung

5. Stellung im Unternehmen

6. Arbeitsrechtlicher Schutz

7. Haftung

8. Abgrenzung zum Meldestellenbeauftragten nach HinSchG

IV. Verhältnis Menschenrechts- zu Beschwerdebeauftragtem

V. Fazit

Teil 3 Besondere Aufgaben und Anwendungsfelder

20. Kapitel Die Compliance-Funktion in einem Kreditinstitut*

I. Einleitung: Was ist die Bedeutung des Begriffs Compliance?

II. Welche Compliance-Funktionen gibt es in einem Kreditinstitut?

1. Kapitalmarkt-Compliance

2. Zentrale Stelle/sonstige strafbare Handlungen (inkl. Geldwäscheprävention) sowie Finanzsanktionen und Embargo (Anti-Financial Crime (AFC))

3. MaRisk-Compliance

4. Hinweisgebersystem (Whistleblowing)

5. Datenschutz

6. Auslagerung der Compliance-Funktion oder von einzelnen Compliance-Tätigkeiten

III. Inhalt und Aufgabe einer modernen Compliance-Funktion

IV. Das Compliance-Management-System (CMS)

V. Schnittstellen zu anderen Funktionen

1. Fachbereiche

2. Rechtsbereich

3. Risikocontrolling-Funktion

4. Interne Revision

VI. Compliance als Teil des IKS eines Kreditinstituts

VII. Übertragung der Struktur/des Ansatzes auf andere Industriesäulen – und umgekehrt

VIII. Fazit/Ausblick

21. Kapitel Produktbezogenes Compliance- und Risikomanagement im Treasury

I. Einleitung

II. Finanz- und Kapitalmarktprodukte; Risiken

1. „Einfache“ Produkte

2. „Komplexe“ Produkte

a) Überblick

b) Risiken im Einzelnen

III. Rechtliche Anforderungen an das Risikomanagement- und Compliance-System

1. Anforderungen an Finanzinstitute

a) Aufsichtsrechtliche Anforderungen

b) „Best Practice“ und praktische Ausgestaltung

aa) Risikomanagement

(1) Risikomanagementstrategie

(2) Risikotragfähigkeitskonzept

(3) Interne Kontrollverfahren

(4) Personelle und technische Ausstattung

(5) Notfallkonzept

(6) Nachhaltiges Vergütungssystem

bb) Compliance

(1) MaRisk BA-Compliance

(2) MaComp-Compliance

2. Anforderungen an Unternehmen

a) Normativer Rahmen und Übertragbarkeit

b) Grenzen

IV. Ausgestaltung des Risikomanagement- und Compliance-Systems im Unternehmensbereich

1. Finanzproduktbezogenes Risikomanagement und Compliance – Überblick

2. Die Ausgestaltung der wichtigsten ICRM-Komponenten im Einzelnen

a) Rechtliche Einzelfallprüfung: Covenant-Tool

c) Marktrisiko-Tool

d) Liquiditätsrisiko-Tool

3. Delegation des Risikomanagements und Compliance

V. Haftungsfragen

1. Verstoß gegen die Pflicht zum Risikomanagement

2. Verstoß gegen die Pflicht zur Compliance

3. Einsatz von Künstlicher Intelligenz

VI. Fazit

22. Kapitel Der Geldwäschebeauftragte – Stellung und Aufgaben

I. Der Geldwäschebeauftragte

1. Warum eigentlich ein Geldwäschebeauftragter? – Geschichte einer besonderen Funktion

2. Verpflichtete Unternehmen

a) Qua Gesetz

b) Freistellungsmöglichkeit (§ 7 Abs. 2 GwG)

c) Anordnung der Behörden

3. Anforderungen an den Geldwäschebeauftragten und Bestellung

4. Kompetenzen und Stellung im Unternehmen

5. Aufgaben des Geldwäschebeauftragten

a) Risikoanalyse

b) Sicherungsmaßnahmen

c) Antizipation und Implementierung neuer rechtlicher und verwaltungspraktischer Vorschriften

d) Kontinuierliche Überwachung von Geschäftsbeziehungen/„Monitoring“

e) Verdachtsfälle und Verdachtsmeldewesen/Unstimmigkeitsmeldungen

f) Berichtswesen, Bericht an Geschäftsleitung und Aufsichtsorgan

g) Mitarbeiterschulungen

6. Arbeitsrechtlicher Schutz des Geldwäschebeauftragten und Teilausnahme vom Direktionsrecht des Arbeitgebers

a) Sonderkündigungsschutz

b) Benachteiligungsverbot

c) Ausnahme vom Direktionsrecht

7. Auslagerung der Funktion

8. Haftung

9. Der Geldwäschebeauftragte – gefangen zwischen hoheitlicher und unternehmerischer Tätigkeit?

23. Kapitel Geldwäsche-Compliance in Industrie und Handel

I. Einführung in die Geldwäscheprävention

1. Begriff und Methoden der Geldwäsche

2. Die Geldwäschebekämpfung

a) Geldwäschebekämpfung auf internationaler Ebene: FATF

b) Geldwäschebekämpfung in der deutschen Gesetzgebung

3. Geldwäscherisiken für Industrie- und Handelsunternehmen

II. Industrie- und Handelsunternehmen im GwG: Der Begriff des Güterhändlers

III. Die Pflichten der Güterhändler im GwG

1. Die privilegierte Verpflichtetenstellung von Güterhändlern

a) Praktische Umsetzung des Bargeldausschlusses

b) Konsequenzen bei Einführung einer Bargeldbeschränkung

2. Risikomanagement

a) Risikoanalyse

b) Interne Sicherungsmaßnahmen

aa) Richtlinie zur Prävention von Geldwäsche

bb) Überprüfung von Geschäftspartnern

cc) Überwachung von Zahlungseingängen

c) Gruppenweite Pflichten

3. Kundensorgfaltspflichten

a) Auslösetatbestände der Sorgfaltspflichten für Güterhändler

b) Ausgewählte Aspekte der allgemeinen Sorgfaltspflichten

c) Ausgewählte Aspekte der vereinfachten und verstärkten Sorgfaltspflichten

4. Pflicht zur Abgabe von Verdachtsmeldungen

a) Verdachtsfall und typische Verdachtsmomente

b) Folgen einer Verdachtsmeldung

aa) Strafbefreiende Wirkung

bb) Transaktionssperrfrist § 46 GwG

cc) Verbot der Informationsweitergabe (Tipping Off-Verbot)

IV. Fazit

24. Kapitel Sanktions-Compliance als Teil eines effektiven Compliance-Management-Systems

I. Einleitung

1. Terminologien und Begriffsverständnis

2. Sanktionen: Historie, Gründe und Ziele

II. Rechtsrahmen

1. UN-Sanktionen

2. EU-Sanktionen

a) Anwendungsbereich

b) Grundlage der EU-Sanktionen

c) Auslegung der EU-Sanktionen

3. Aufbau der EU-Sanktionen

a) Listenprinzip

b) Finanzsanktionen

aa) Begriffsdefinitionen

(1) Gelder

(2) Wirtschaftliche Ressourcen

(3) Einfrieren von Geldern und wirtschaftlichen Ressourcen

(4) Eigentum und Besitz

(5) Halten und Kontrollieren

bb) Bereitstellungsverbot

(1) Bereitstellung

(2) Mittelbare Bereitstellung

cc) Einfriergebot

dd) Ausnahmen

4. Deutschland

a) Außenwirtschaftsgesetz und Außenwirtschaftsverordnung

b) Sanktionsdurchsetzungsgesetze

5. Ausblick: Deutschland und EU

6. US-Sanktionen

a) Grundlagen

b) Anwendungsbereich

aa) Primärsanktionen

bb) Sekundär-Sanktionen

c) Funktionsweise der US-Sanktionen

7. Anti-Boykott-Regelungen

a) EU-Blocking-Verordnung

aa) Hintergrund der EU-Blocking-Verordnung

bb) Regelungen der EU-Blocking-Verordnung

b) § 7 AWV

8. Weitere Sanktionen anderer Staaten und Organisationen

III. Konsequenzen und Haftung

1. Straf- und ordnungswidrigkeitsrechtliche Folgen

a) § 17 AWG

b) § 18 AWG

c) § 19 AWG

d) Vermeidung von Verstößen

2. Zivilrechtliche Folgen

3. Schadenserssatz

4. Sonstige Folgen

IV. Maßnahmen zur Umsetzung eines Sanktions-Compliance-Management-Systems

1. Risikobewertung

2. Know Your Business Partner/Know Your Customer/Risikoanalyse

a) Phase 1: Informationsbeschaffung

b) Phase 2: Überprüfung

c) Phase 3: Risikoeinschätzung

d) Phase 4: Entscheidung

3. Interne Meldeprozesse und Ablauforganisation

4. Tone from the Top und Guidance

5. Mitarbeiterzuverlässigkeit

6. Schulungen

7. Überprüfung

8. Rechtliche Unterstützung

9. Einsatz von IT-Hilfen/Technik

10. Dokumentation und Aufbewahrung

V. Checkliste

25. Kapitel Exportkontrolle und Compliance

I. Einleitung

II. Rechtsgrundlagen der Exportkontrolle in Deutschland

1. Supranationale Vorgaben

2. Nationale Vorgaben

3. Relevanz ausländischen Exportkontrollrechts

a) Allgemeines

b) Insbesondere: US-Re-Exportkontrolle

III. Exportkontrollrechtliche Genehmigungspflichten

1. Allgemeines

2. Genehmigungspflichten bei Ausfuhren in Länder außerhalb der EU

a) Gelistete Güter

b) Nicht gelistete Güter

3. Genehmigungspflichten bei Verbringungen

a) Verbringungen bei Endverbleib in der EU

b) Verbringungen mit anschließender Ausfuhr

4. Sonstige Genehmigungspflichten

a) Handels- und Vermittlungsgeschäfte

b) Technische Unterstützung

IV. Exportkontrollrechtliches Genehmigungsverfahren

1. Zuständigkeit des BAFA

2. Ablauf des Genehmigungsverfahrens

3. Genehmigungstypen

4. Sanktionen bei exportkontrollrechtlichen Verstößen

V. Exportkontrollrechtliche Compliance-Strukturen

1. Allgemeines

2. Der Ausfuhrverantwortliche

3. Modell eines innerbetrieblichen Exportkontrollsystems

a) Überblick über die relevanten Strukturelemente

b) Umsetzung im Einzelfall

VI. Zusammenfassung und Ausblick

26. Kapitel Compliance in M&A-Transaktionen

I. Einleitung

II. Prozessuale M&A-Compliance – Einhaltung von Rechtsvorschriften im M&A-Verfahren

1. Strukturierung der Transaktion

a) Auktions- und Einzelbieterverfahren

b) Transaktionsgegenstand

2. Offenlegung von Informationen

a) Offenlegungs- und Aufklärungspflichten des Veräußerers

b) Rechtliche Grenzen der Offenlegung von Informationen

aa) Gesellschaftsrechtliche Zulässigkeit der Offenlegung von Informationen gegenüber Dritten

bb) Vertraulichkeitsbestimmungen in Verträgen mit Dritten

cc) Datenschutzrechtliche Anforderungen für die Offenlegung von personenbezogenen Daten

3. Kartellrechtliche M&A-Compliance – Vollzugsverbot, Marktmachtmissbrauch und Informationsaustausch

a) Anmeldepflicht und Vollzugsverbot

b) Informationsaustausch

4. Kapitalmarktrechtliche M&A-Compliance

a) Informationsweitergabe im Rahmen der Due Diligence

b) Ad-hoc-Pflicht

c) Übernahmerechtliche M&A-Compliance

5. Pflicht zur Durchführung einer rechtlichen Due Diligence

a) Regelfall

b) Besonders gelagerte Fälle

c) Nachgelagerte Due Diligence (Post-Closing Due Diligence)

6. (Abbruch der) Vertragsverhandlungen

7. Zustimmungserfordernisse

a) Zustimmung von Aufsichtsgremien und/oder der Gesellschafter

b) Zustimmung von Ehegatten oder Lebenspartnern

8. Vereinbarung von Wettbewerbsverboten im Unternehmenskaufvertrag

III. Materielle M&A-Compliance – Prüfung von/Umgang mit Compliance in der Zielgesellschaft

1. Due Diligence

a) Erfordernis einer Compliance-Due Diligence

aa) Einführung unter besonderer Beachtung von ESG/CSR

bb) Erfordernis der Durchführung einer Compliance-Due Diligence

cc) (Eigen-)Interesse der Geschäftsleitung (Business Judgement Rule)

dd) Normative Kraft des Faktischen

b) Vorgehensweise: Abgestufte, risikobasierte Compliance-Due Diligence

aa) Rechtlicher Rahmen

bb) Ermittlung des Risikoprofils der Zielgesellschaft

cc) Risikobewertung und Dokumentation

dd) Eigentliche Due Diligence

c) Due Diligence nach Vollzug

2. Umgang mit bekannten/bekanntgewordenen Compliance-Verstößen/-Risiken

a) Risikobewertung

b) Umgang mit bekannten/entdeckten Compliance-Risiken

IV. Zusammenfassung

27. Kapitel Kartellrechts-Compliance*

I. Überblick über die Kartellrechts-Risiken

1. Einleitung

2. Kartellrechts-Risikokategorien

a) Das Verbot wettbewerbsbeschränkender Vereinbarungen: Absprachen mit anderen Unternehmen

aa) Vereinbarung, abgestimmtes Verhalten oder Beschluss

bb) Bezweckte oder bewirkte Wettbewerbsbeschränkung

cc) Sehr hohe Risiken

(1) „Hardcore-Kartelle“

(2) Ausschreibungen

(3) Informationsaustausch

(4) Verbandsarbeit

(5) Preisbindungen und Preisempfehlungen

(6) Marktaufteilungen beim Vertrieb

(7) Internet-Behinderungen

(8) Boykott

(9) Personalbereich

dd) Weniger hohe Risiken

(1) Horizontale Kooperationen

(2) Vertriebsbeschränkungen

(3) Wettbewerbsverbote (Markenzwang); Alleinbezugsverpflichtungen

b) Machtmissbrauch (einseitige Handlungen)

aa) Allgemeine Voraussetzungen

(1) Marktbeherrschende Stellung

(2) Missbräuchliche Ausnutzung

bb) Sehr hohe Risiken

(1) Behinderung/Ausgrenzung von Wettbewerbern

(2) Kundenbindung, Treuerabatte

(3) Squeeze-out von Wettbewerbern, Kosten-Preis-Schere

(4) Kopplung von Angeboten

cc) Weniger hohe Risiken

(1) Ausbeutungsmissbrauch, Kundenpreisdifferenzierung

(2) Niedrigpreisstrategien

(3) Lieferverweigerung; wesentliche Einrichtungen („Essential Facilities“)

(4) Ausschließlichkeitsbindungen

(5) Diskriminierung abhängiger Unternehmen

(6) Behinderung von kleineren Wettbewerbern; Verkauf unter Einstandspreis

3. Haftungssubjekte (Wer haftet für wen?)

a) Unternehmenshaftung

b) Persönliche Haftung

c) Haftung im Konzern („Wirtschaftliche Einheit“)

d) Haftung bei Gemeinschaftsunternehmen

e) Haftung für Beauftragte

f) Haftung bei Rechtsnachfolge

4. Art und Umfang der Haftung

a) Strafrechtliche Sanktionen

b) Bußgelder

aa) EU-Recht

bb) Deutsches Recht

c) Schadensersatz

aa) Individualansprüche

bb) Kollektiver Rechtsschutz

cc) Schadensausgleich im Innenverhältnis

d) Sonstige Nachteile

II. Management der Kartellrechtsrisiken in der Praxis

1. Risikoanalyse: Identifizierung und Bewertung

a) Kartellrechtliches Risikoprofil

b) Geschäftstätigkeit und Geschäftsbeziehungen

c) Risikokategorisierung und Risikobewertung

d) Einführung eines Top-down-Ansatzes

2. Präventive Maßnahmen

a) Richt- und Leitlinien zum Kartellrecht

b) Schulungen (Präsenzschulungen und Webinars/E-Learning)

3. Maßnahmen zur Kontrolle/Aufdeckung

III. Behördliche Untersuchungen

1. Durchsuchungen der EU-Kommission

a) Zuständigkeit

b) Befugnisse

c) Elektronische Durchsuchung

d) Typischer Ablauf

2. Durchsuchungen des Bundeskartellamts

a) Zuständigkeit

b) Befugnisse

c) Elektronische Durchsuchung

d) Typischer Ablauf

3. Verhaltensregeln für die Unternehmen

a) Vor der Durchsuchung

b) Während der Durchsuchung

c) Nach der Durchsuchung

28. Kapitel Compliance-Anforderungen im Wettbewerb um öffentliche Aufträge

I. Einleitung

II. Anforderungen an Unternehmen in Vergabeverfahren

III. Ausschlussgründe

1. Zwingende Ausschlussgründe

a) Straftatbestände

b) Steuer- und Abgabentatbestände

2. Fakultative Ausschlussgründe

a) Verstoß gegen umwelt-, sozial- oder arbeitsrechtliche Verpflichtungen

b) Insolvenz und Liquidation

c) Schwere Verfehlung im Rahmen beruflicher Tätigkeit

d) Wettbewerbsbeschränkende Vereinbarungen oder abgestimmte Verhaltensweisen

e) Interessenkonflikt

f) Vorbefassung

g) Mangelhafte Leistung bei Ausführung früherer Aufträge

h) Schwerwiegende Täuschung bei Eignungsprüfung

i) Unzulässige Einflussnahme

IV. Wettbewerbsregister

1. Einrichtung des Wettbewerbsregisters

2. Eintragung von Rechtsverstößen

3. Einbindung in das Vergabeverfahren

4. Löschung von Eintragungen

5. Rechtsbehelfe

V. Selbstreinigung

1. Selbstreinigung im Vergabeverfahren

a) Prüfung durch Vergabestelle

b) Prüfung durch Wettbewerbsregister

2. Kriterien der Selbstreinigung

a) Ausgleich des Schadens

b) Zusammenarbeit zur Aufklärung

c) Technische, organisatorische und personelle Maßnahmen

VI. Ausschlussfristen

1. Fristenregelung bei zwingenden Ausschlussgründen

2. Fristenregelung bei fakultativen Ausschlussgründen

3. Ermessensausübung

29. Kapitel Tax Compliance*

I. Einleitung

II. Steuerliche Pflichten

1. Allgemeine steuerliche Pflichten

2. Spezifische materiell-rechtliche Problemschwerpunkte

a) Lohnsteuer und Sozialabgaben

b) Umsatzsteuer

c) Verdeckte Gewinnausschüttungen

d) Anzeigepflicht nach § 153 AO

e) Tochtergesellschaften und Betriebstätten im Ausland

f) Internationale Verrechnungspreise

g) Versagung des Betriebsausgabenabzugs nach § 160 AO

h) Betriebsausgabenabzugsverbot nach § 4 Abs. 5 Satz 1 Nr. 10 EStG

III. Risiken mangelnder Tax Compliance

1. Steuerliche Haftungsrisiken

2. Steuerstrafrechtliche und steuerordnungswidrigkeitenrechtliche Risiken

a) Sanktionen gegen Organe und Mitarbeiter

aa) Steuerhinterziehung und leichtfertige Steuerverkürzung (§§ 370, 378 AO)

(1) Täter

(2) Objektiver Tatbestand

(3) Subjektiver Tatbestand

(4) Strafe

bb) Verletzung der Aufsichtspflicht (§ 130 OWiG)

b) Sanktionen gegen das Unternehmen

aa) Verbandsgeldbuße (§ 30 OWiG)

bb) Einziehung (§ 29a OWiG)

IV. Tax Compliance-System

1. Risikoanalyse

2. Ausgestaltung eines Tax Compliance-Systems

a) Zuständigkeit für Tax Compliance

b) Zuständigkeit und Verantwortlichkeit bzgl. der steuerlichen Pflichten

c) Berichtswege/Berichtspflichten

d) Prozessbeschreibung Deklarationswesen

e) Kontroll- und Überwachungsmaßnahmen

f) Umgang mit Betriebsprüfungen

g) Schulungen

h) Dokumentation

3. Prüfungserleichterungen nach Art. 97 § 38 EGAO

a) Tatbestandsvoraussetzungen

b) Rechtsfolgen

V. Zertifizierung des Tax Compliance-Systems durch Dritte

VI. Berichtigung von Steuererklärungen

1. Korrekturvorschrift

2. Selbstanzeige im Unternehmen (§§ 371, 378 Abs. 3 AO)

a) Person des Anzeigeerstatters

b) Positive Wirksamkeitsvoraussetzungen des § 371 AO

c) Negative Wirksamkeitsvoraussetzungen des § 371 AO (Sperrgründe)

d) Absehen von Verfolgung nach § 398a AO

e) Bußgeldbefreiende Selbstanzeige nach § 378 Abs. 3 AO

VII. Fazit

Literaturverzeichnis

Sachregister