- Anzeigen -

Sie sind hier: Home » Fachartikel » Recht

Compliance und Datenschutz im Unternehmen


Datenschutz im Konzern: Der Konzerndatenschutzbeauftragte und die Organisation der Datenschutz-Compliance
Beim Aufbau einer Compliance-Organisation für den Datenschutz im Konzern geht es nicht nur darum, der Pflicht zur Bestellung von Datenschutzbeauftragten nachzukommen


Von Rechtsanwalt Dr. Thomas Helbing (*)

(23.06.10) - Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

Der Datenschutzbeauftragte
Der Datenschutzbeauftragte ist unmittelbar der Unternehmensleitung zu unterstellen, § 4f (3) 1, 2 BDSG und in seiner Funktion als Datenschutzbeauftragter weisungsfrei. Befugnisse zur Umsetzung der datenschutzrechtlichen Anforderungen gibt das Gesetz dem Datenschutzbeauftragten jedoch nicht. Er hat also von Gesetzes wegen noch keine Weisungsrechte gegenüber Mitarbeitern im Hinblick auf Datenschutzfragen und auch keine entsprechende Richtlinienkompetenz.

Der Datenschutzbeauftragte kann zum Beispiel nicht die Personalabteilung anweisen, Bewerberdaten nach einer bestimmten Zeit zu löschen. Letztlich verantwortlich für die Umsetzung und Einhaltung des Datenschutzes bleibt damit die Unternehmensleitung. Natürlich können Unternehmen entsprechende Befugnisse dem Datenschutzbeauftragten im Anstellungsvertrag einräumen. Dies hat dann auch Auswirkungen auf die Haftung des Datenschutzbeauftragten.

Der Datenschutzbeauftragte kann - muss aber nicht - beim Unternehmen angestellt sein (interner Datenschutzbeauftragter). Ist der Datenschutzbeauftragte nicht bei dem Unternehmen beschäftigt, für das er bestellt ist, so spricht man von externen Datenschutzbeauftragten. Diese finden sich in erster Linie bei kleineren und mittleren Unternehmen.

Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Seit 1. September 2009 genießt ein beim Unternehmen beschäftigter Datenschutzbeauftragter zudem einen besonderen Kündigungsschutz (§ 4f (3) BDSG), womit eine ordentliche Kündigung des Arbeitsverhältnisses ausscheidet.

Fehlendes Konzernprivileg
Bilden mehrere Gesellschaften einen Konzern, etwa indem sie im Mehrheitsbesitz einer Muttergesellschaft stehen, so hat jede Gesellschaft isoliert einen Datenschutzbeauftragten zu bestellen. Es genügt insbesondere nicht, wenn nur die Muttergesellschaft eine solche Bestellung vornimmt; dies ist ein Grund für die oft wiederholte Feststellung, das BDSG enthalte kein "Konzernprivileg". Es ist aber grundsätzlich möglich, ein und dieselbe Person in einer Vielzahl von Unternehmen zum Datenschutzbeauftragten zu bestellen; mehr dazu unten.

Herausforderung Konzerndatenschutz
Beim Aufbau einer Compliance-Organisation für den Datenschutz im Konzern geht es aber keineswegs nur darum, der Pflicht zur Bestellung von Datenschutzbeauftragten nachzukommen. Ein Unternehmensverbund stellt weitergehende Anforderungen an den Datenschutz, insbesondere im Hinblick auf Koordination, Beratung und Kontrolle.

>> Datenschutzrechtliche Fragestellungen und Probleme, die mehrere Konzernunternehmen betreffen, sollen oder müssen einheitlich behandelt werden (Umgang mit Mitarbeiterdaten, Datenschutz im Zusammenhang mit den vom Konzern verkauften Produkten, Hinweisgeber-Systeme, Zugriff auf Mitarbeiter E-Mails- und Kontrolle der Telefonnutzung).

>> Eine einheitliche Software soll konzernweit eingesetzt werden und bedarf deshalb eines übergreifenden Datenschutzkonzeptes (Personalinformationssystem, CRM- oder ERP-Software).

>> Für den Transfer bzw. Austausch von Mitarbeiter- oder Kundendaten zwischen Konzerngesellschaften und mit Dritten muss ein einheitlicher Lösungsansatz gefunden werden.

>> Bei internationalen Konzernen muss eine Strategie entwickelt werden, wie in Drittstaaten (außerhalb der EU und des EWR) ein angemessenes Datenschutzniveau sichergestellt wird (Standardvertragsklauseln, Binding Corporate Rules). Zudem muss die Einhaltung der lokalen Datenschutzbestimmungen sichergestellt werden. Diese weichen auch innerhalb der EU trotz Harmonisierung zum Teil erheblich ab, vor allem im Bereich der Meldepflicht und Mitarbeiterdaten.

>> Bei der Verhandlung von datenschutzrelevanten Betriebsvereinbarungen mit Betriebsräten bzw. dem Gesamtbetriebsrat/Konzernbetriebsrat wird von Seiten des Unternehmens ein zentraler Ansprechpartner benötigt.

>> Schulungen, Datenschutzkontrollen und Audits sind mit anderen internen Stellen (z.B. Revision, Rechtsabteilung, Personalabteilung) abzustimmen und konzernweit anzugleichen.

Soweit der Konzerndatenschutzbeauftragte als Datenschutzbeauftragter nach § 4f BDSG bestellt ist, hat er zum einen die oben genannten originären Aufgaben zu erfüllen, die ihm das Gesetz zuweist. Als konzernweit Verantwortlicher für den Datenschutz treten noch besondere Aufgaben hinzu wodurch sich das Aufgabenbild ändert: Der Konzerndatenschutzbeauftragte ist vor allem planend, koordinierend und beratend tätig. Er erarbeitet Datenschutzziele, stimmt diese mit der Konzernleitung ab und entwirft eine Strategie und konkrete Maßnahmen zu deren Umsetzung.

Viele Aufgaben, zum Beispiel die Datenschutz-Kontrolle oder Schulung von Mitarbeitern, sind nur durch Hilfspersonal oder in Zusammenarbeit mit anderen Abeilungen (IT, Personalabteilung, Revision oder Rechtsabteilung) umzusetzen. Das setzt voraus, dass eine konzerninterne Datenschutz-Organisation aufgebaut wird. Hierzu gehören dedizierte Ansprechpartner in den einzelnen Unternehmensbereichen und Fachabteilungen.

Organisationsformen (Einheitsmodell und Koordinationsmodell)

Grundsätzlich lassen sich zwei Formen der Datenschutzorganisation im Konzern unterscheiden:
Das Einheitsmodell und das Koordinationsmodell:

Beim Einheitsmodell wird eine Person als Datenschutzbeauftragter bei der Konzernmutter und allen anderen Konzerngesellschaften bestellt. Der Konzerndatenschutzbeauftragte ist hier in Personalunion Datenschutzbeauftragter jeder Konzerngesellschaft; die gesetzlichen Aufgaben des Datenschutzbeauftragten werden bei ihm gebündelt. Aus meiner anwaltlichen Beratung und verschiedenen Gesprächen mit Datenschutzverantwortlichen in Konzernen habe ich den Eindruck gewonnen, dass sich viele große Konzerne für diesen Ansatz entschieden haben. Der Datenschutzbeauftragte ist häufig bei der Muttergesellschaft angestellt und handelt für diese als interner, für alle anderen Konzerngesellschaften entsprechend als externer Datenschutzbeauftragter.

Alternativ kann die konzernweite Datenschutz-Compliance auch von einer Person koordinierend übernommen werden. Diese ist entweder gar nicht oder nur bei der Muttergesellschaft als Datenschutzbeauftragter bestellt. Seine Aufgabe ist es, die unterschiedlichen, für jedes Unternehmen bestellten Datenschutzbeauftragten zu koordinieren und zu.

Vor- und Nachteile der beiden Modelle

Mit dem Einheitsmodell lässt sich der Datenschutz konzernweit am besten harmonisieren, da keine Abstimmung zwischen verschiedenen Beauftragten nötig ist. Beim Koordinationsmodell müssen dagegen alle Datenschutzbeauftragten unter einen Hut gebracht werden, bei Meinungsverschiedenheiten droht eine Zersplitterung des Datenschutzkonzeptes, weil kraft Gesetzes keine Weisungsmöglichkeit besteht.

Beispiel: Ein Konzern plant die Einführung eines Hinweisgeber-Systems (Whistleblowing-Hotline) bei der Mitarbeiter Verdachtsfälle von Straftaten gegen das Unternehmen durch andere Angestellte melden können. Bei diesen Whistleblowing-Systemen sind personenbezogene Daten sowohl des Hinweisgebers als auch des Beschuldigten betroffen und deren Interessen gegen die des Unternehmens abzuwägen. Die Datenschutzbeauftragten aller involvierten Konzernunternehmen haben das Hinweisgebersystem in Bezug auf die Datenschutzkonformität im Rahmen einer so genannten Vorabprüfung (§ 4d (5) BDSG) zu bewerten. Kommen sie zu unterschiedlichen Ergebnissen, kann das System unter Umständen nicht konzernweit einheitlich eingeführt werden oder es kommt zu Verzögerungen, weil Bedenken einzelner Konzerngesellschaften ausgeräumt werden müssen.

Der Konzerndatenschutzbeauftragten kommt beim Einheitsmodell mit nahezu allen Datenschutzfragestellungen in den verschiedenen Unternehmensteilen in Berührung und kann so spezifisches Fachwissen aufbauen und Synergieeffekte nutzen. Das Einheitsmodell erlaubt so oft eine kosteneffiziente und schlanke Organisation des Datenschutzes; so genügt es, wenn zum Beispiel nur der Konzerndatenschutzbeauftragte zu externen Datenschutzschulungen geschickt wird, statt eine ganze Gruppe von Personen. Die Bestellung als Datenschutzbeauftragter verleiht zudem intern im Unternehmen und extern gegenüber Behörden und Betroffenen eine starke Stellung.

Mit dem Einheitsmodell wird außerdem auf einen Schlag das formale Kriterium der Bestellung eines Datenschutzbeauftragten erfüllt; die oft als mühsam und schwierig empfundene Suche nach einer geeigneten (und willigen) Person für die Position des Datenschutzbeauftragten im Unternehmen entfällt.

Allerdings kann das Einheitsmodell auch leicht zu einer Arbeitsüberlastung des Konzerndatenschutzbeauftragten führen, da er alle gesetzlichen Aufgaben des Datenschutzbeauftragten, von der Führung des Verfahrensverzeichnisses bis hin zur Schulung der Mitarbeiter in allen Unternehmen zu erledigen hat. Dadurch droht der Blick für das "große Ganze" verloren zu gehen, weil wegen vieler kleiner Baustellen die Zeit fehlt, eine einheitliche Strategie und konzernweite Lösungsansätze zu entwickeln.

Hinzu kommt, dass der Konzerndatenschutzbeauftragte bei der Einheitslösung als externer Datenschutzbeauftragter einen schlechteren Einblick in die Gegebenheiten der einzelnen Tochterunternehmen hat, weil er nicht so gut in die betriebliche Organisation eingebunden ist als ein Mitarbeiter vor Ort. Datenschutz im Konzern ist in erheblichem Maße eine Frage der Kommunikation: von der Informationsbeschaffung über datenschutzrelevante Vorgänge bis zur Schulung und Kontrolle. All diese Aufgaben sind umso schwieriger, je größer der Konzern und je weiter weg der Konzerndatenschutzbeauftragte ist.

Um diesen Risiken vorzubeugen, muss dem Konzerndatenschutzbeauftragten bei der Einheitslösung Hilfspersonal zugeteilt werden. Hierbei handelt es sich nach meinen Erfahrungen oft um ein bei der Konzernmutter gebildetes Team, das den Konzerndatenschutzbeauftragten unterstützt. Alternativ oder - in der Praxis häufiger - ergänzend können Kontaktpersonen bei den jeweiligen Tochterunternehmen zugeteilt werden. Da diese bei der Einheitslösung nicht als Datenschutzbeauftragte bestellt sind, können sie den Weisungen des Konzerndatenschutzbeauftragten unterstellt werden. Der Aufbau dieser Organisation von Hilfspersonal ist einer der ersten Schritte beim Aufbau einer Konzern-Datenschutz-Compliance.

Schließlich ist noch zu berücksichtigen, dass es beim Einheitsmodell zu Interessenskonflikten beim Konzerndatenschutzbeauftragten kommen kann, wenn die einzelnen Gesellschaften unterschiedliche Interessen verfolgen, etwa beim konzerninternen Datentransfer. Während die Muttergesellschaft in der Regel an einem umfassenden und ungehinderten Datenaustausch interessiert ist, können Tochtergesellschaften gegenläufige Interessen haben.

Die folgende Tabelle fasst die Vor- und Nachteile der beiden Modelle zusammen:

Einheitsmodell Koordinationsmodell
Eine Person wird als Datenschutzbeauftragter für alle Konzernunternehmen bestellt. Der Konzerndatenschutzbeauftragte wird nur bei der Muttergesellschaft bestellt und koordiniert und berät die verschiedenen Datenschutzbeauftragten der Tochtergesellschaften.
(+) Leichte Vereinheitlichung des Datenschutzes im Konzern möglich (-) Abstimmung unter den Datenschutzbeauftragten nötig, kein Weisungsrecht bei Meinungsverschiedenheiten, drohende "Zersplitterung" des Datenschutzkonzeptes
(+) Aufbau von Fachwissen, Nutzung von Synergieeffekten, schlanke Organisation, niedrigere Kosten  
(+) Starke interne und externe Stellung  
(+) Keine Suche nach Datenschutzbeauftragten für alle Unternehmen (-) Aufwändiges Suchen von geeigneten und willigen Personen für die Position des Datenschutzbeauftragten
(-) Drohende Arbeitsüberlastung des Konzerndatenschutzbeauftragten  
(-) Fehlender Einblick in die individuellen Begebenheiten des jeweiligen Unternehmens; schlechtere Einbindung in die Organisation (+) Gute Einbindung in die Organisation vor Ort, leichtere Informationsbeschaffung, Schulung und Kontrolle
(-) Mögliche Interessenskollision (+) Keine Interessenskonflikte


Zu berücksichtigende Kriterien

Welches Modell das bessere ist, lässt sich pauschal nicht sagen. In der Praxis findet sich in Konzernen wohl häufiger die Einheitslösung, weil sie bei der Vereinheitlichung und Standardisierung im Vorteil liegt.

Letztlich muss aber immer auf die konkreten Umstände abgestellt werden:

Hat ein Konzern Unternehmensbereiche, die zu sehr unterschiedlichen Branchen gehören, kann es sinnvoll sein, im Rahmen eines Koordinationsmodells für die einzelnen Bereiche Datenschutzbeauftragte zu bestellen. Diese kennen sich mit den jeweiligen branchenspezifischen Besonderheiten gut aus. Eine Vereinheitlichung übergreifender Datenschutz-Aspekte lässt sich durch eine Koordinierung erreichen.

Das gleiche gilt, wenn die Standorte der einzelnen Unternehmen weit auseinander liegen und sich die Unternehmenskultur und -organisation in den verschiedenen Konzernteilen stark unterscheiden. Solche Fälle finden sich insbesondere nach größeren Zukäufen oder Verschmelzungen von Unternehmensteilen (Merger & Acquisitions).

Ist bereits ein eingespieltes Team von Datenschutzbeauftragten etabliert, kann ein Koordinierungsmodell ebenfalls eine gute Lösung sein, um Datenschutzstandards zu vereinheitlichen und konzernweite Datenschutzfragen anzugehen. Steht ein Konzern am Anfang seiner Compliance-Bemühungen im Datenschutz kann zunächst auf das Koordinationsmodell gesetzt werden, um einen Überblick zu gewinnen. Anschließend können dann immer noch schrittweise die verschiedenen Datenschutzbeauftragten durch einen Konzerndatenschutzbeauftragten abgelöst werden.

Stellungnahmen von Aufsichtsbehörden
Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz hat in einer "Orientierungshilfe" für betriebliche Datenschutzbeauftragte zum Einheitsmodell wie folgt Stellung genommen:

"Die Bestellung eines solchen Konzerndatenschutzbeauftragten ändert nichts daran, dass die einzelnen Konzernunternehmen ebenfalls einen eigenen Beauftragten zu bestellen haben. Dabei kann es sinnvoll sein, dass mehrere oder alle Tochterunternehmen ein und denselben betrieblichen Datenschutzbeauftragten bestellen, um Synergieeffekte und einen konzerneinheitlichen Datenschutzstandard zu erzielen."

In ihrem Ersten Tätigkeitsbericht aus dem Jahre 2002/2003 äußert sich die Regierung von Mittelfranken als Bayerische Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich differenziert zum Einheitsmodell:

"In größeren Konzernen wird häufig ein Konzerndatenschutzbeauftragter bestellt, der gleichzeitig für die einzelnen Unternehmen des Konzerns als externer Datenschutzbeauftragter fungiert. In den einzelnen Unternehmen sind dann häufig zu seiner Unterstützung noch "Datenschutzkoordinatoren" tätig.

(...)

Diese Lösung hat einerseits die Vorteile, dass der konzerninterne Datenaustausch gut überblickt werden kann, die Umsetzung des Datenschutzes konzernweit einheitlich erfolgt und bei gleichartigen Konzernunternehmen Synergieeffekte und zahlreiche Praxiserfahrungen ausgenutzt werden können. Andererseits hat sie aber auch oft den Nachteil, dass der notwendige eigene Einblick in die einzelnen Unternehmen und damit der jeweilige betriebsinterne Bezug vor allem dann fehlt, wenn der Konzern nicht einheitlich strukturiert ist und unterschiedliche Geschäftsfelder aufweist.

Wir raten deshalb in der Regel zur gegenteiligen Lösung, bei der in jedem rechtlich selbständigen Mitgliedsunternehmen ein Datenschutzbeauftragter bestellt wird. Einer davon wird von der Konzernspitze als Koordinator für den gesamten Konzern eingesetzt. Seine Aufgaben sollten denen eines Konzerndatenschutzbeauftragten angenähert sein, um die oben genannten Vorteile auch hier weitgehend wirksam werden zu lassen.

Dieses Modell entspricht mehr der Intention des BDSG, das davon ausgeht, dass der Datenschutzbeauftragte mit den betrieblichen Zusammenhängen und Abläufen gut vertraut sein muss, um seine gesetzlichen Aufgaben erfüllen zu können. Dazu gehören auch eine gewisse Ortsnähe und ein guter Einblick in den jeweiligen Betrieb".

Die Hessische Datenschutzbehörde hat in ihrem Tätigkeitsbericht für 1999 eine ähnliche Empfehlung ausgesprochen:

"Bei Konzernunternehmen, die sehr unterschiedliche Geschäftsfelder aufweisen und nicht einheitlich strukturiert sind, sollte möglichst dezentral für jedes Tochterunternehmen ein Datenschutzbeauftragter ernannt werden. Synergieeffekte sind hier mit einem zentralen Datenschutzbeauftragten nicht in jedem Fall (oder nur in geringem Umfang) zu erwarten."


Zusammenfassung und Ausblick
Der Aufbau einer konzernweiten Datenschutz-Compliance-Organisation ist eine große Herausforderung. Trotz der gesetzlich ausformulierten Position des Datenschutzbeauftragten ergeben sich für Konzerne unterschiedliche Lösungs-Ansätze mit individuellen Vor- und Nachteilen. Der Aufgabenkreis - und entsprechend das Anforderungsprofil - des obersten Datenschützers im Konzerns ist mehr als der im Gesetz beschriebene betriebliche Datenschutzbeauftragter, der Konzerndatenschutzbeauftragte ist in erster Linie ein Datenschutz-Manager.

Der Aufbau einer Datenschutz-Organisation stellt nicht nur eine Chance auf Vereinheitlichung und Verbesserung des Datenschutzniveaus dar, sondern bietet auch Einsparpotential durch Synergieeffekte.

Das Thema Datenschutz dürfte in Zukunft an Bedeutung gewinnen. Das zeigen die vielen gesetzlichen Neuregelungen des Jahres 2009 und die gegenwärtigen Bemühungen zur Kodifizierung des Beschäftigtendatenschutzes. Hinzu kommt, dass nach einem Urteil des Europäischen Gerichtshofs (EuGH) Deutschland die Stellung seiner Datenschutzaufsichtsbehörden neu regeln muss, um ihre durch die EU-Datenschutzrichtlinie 95/46/EG garantierte Unabhängigkeit sicherzustellen. Mit der neuen Unabhängigkeit könnte auch eine neue Vollzugspraxis einkehren.

Auch haben die Novellen aus dem Jahr 2009 den Aufsichtsbehörden ein deutlich schärferes Instrumentarium an die Hand gegeben, einschließlich der Möglichkeit, Gewinne aus Datenschutzverstößen abzuschöpfen. Damit sind die rechtlichen Rahmenbedingungen für ein strengeres Durchgreifen der Aufsichtsbehörden geschaffen, so wie es in anderen EU-Ländern (Frankreich, Spanien) schon länger zu beobachten ist.

(*) Zum Autor:
Dr. Thomas Helbing ist Rechtsanwalt und berät Unternehmen zum Datenschutz-, IT- und Online-Recht.

Weitere Beiträge und mehr über die Kanzlei finden Sie auf
www.thomashelbing.com.
E-Mail: helbing (at) thomashelbing.com
Telefon: (0 89) 39 29 70 07


Sie haben Fragen zum Datenschutz im Konzern oder suchen externe Unterstützung für Ihr Datenschutz-Team? Kontaktieren Sie mich.


>> Beratung bei Konzeption und Aufbau einer Datenschutz-Compliance-Organisation

>> Stellungnahme bei konkreten Datenschutzfragen (Mitarbeiterdatenschutz, internationale Datentransfers, Kundendatenbanken, ERP Systeme, Webseite)

>> Entwurf oder Überarbeitung von internen Richtlinien und Musterverträgen

>> Durchführung von Audits

>> Prüfung von Auftragsdatenverarbeitungsverträgen

>> Bestellung als externer Datenschutzbeauftragter

>> Koordinierung von internationalen Projekten

Corporate Compliance Zeitschrift

Corporate Compliance Zeitschrift
Corporate Compliance Zeitschrift Fachartikel zum Thema Corporate Compliance

Lesen Sie weitere Compliance-Themen
in der Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Corporate Compliance Zeitschrift“ (CCZ) heißt die neueste juristische Fachzeitschrift zur Haftungsvermeidung im Unternehmen. Die CCZ erscheint seit Januar 2008 sechsmal jährlich in den Verlagen C.H.Beck / Franz Vahlen und wird von Compliance-Magazin.de (Hrsg. Presse, Messe & Kongresse Verlags GmbH) vertrieben.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [105 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [104 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [40 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [40 KB]


Leseproben der Corporate Compliance Zeitschrift (CCZ)

19.12.18 - Aus der Praxis für die Praxis: Zur zivilrechtlichen Rechtsverfolgung von "Compliance"-Sachverhalten und deren Abwicklung

19.12.18 - VCI/BCM-Position für ein moderneres Unternehmenssanktionsrecht

18.12.18 - CSR meets Compliance - Über die zunehmende Verrechtlichung der Corporate Social Responsibility

18.12.18 - Auskehrung von eingefrorenen Geldern nach einem Betrug: Die Regelung soll helfen, die von der chinesischen Behörde eingefrorenen Guthaben schneller an den Geschädigten auszukehren

18.12.18 - Selbstanzeige von Unternehmen bei Bestechungsdelikten und Kartellrechtsverstößen in Russland

18.12.18 - Die Reform des Geheimnisschutzes aus Sicht der Compliance-Abteilung - Ein Überblick

17.12.18 - Arbeit 4.0: Compliance-rechtliche Herausforderungen infolge der Determination des sozialversicherungsrechtlichen Status

17.12.18 - Die janusköpfigen Verschwiegenheitsrechte und -pflichten des Rechtsanwalts in der Funktion einer Ombudsperson

17.12.18 - Der Einfluss des Transparenzgrundsatzes der DSGVO auf die Durchführung interner Ermittlungen

18.10.18 - Wie sieht die Rolle von Compliance-Abteilungen in M&A-Prozessen aus?

18.10.18 - Handlungsoptionen bei Fehlverhalten Dritter

18.10.18 - CLOUD Act: Selbst für die Wolken gibt es Grenzen

18.10.18 - Key Performance Indicators zur Messung der Effizienz eines Datenschutz-Management-Systems (DSMS)

17.10.18 - Der privilege-waiver durch oral-downloads – eine (nicht ganz) neue Herausforderung für unternehmensinterne Ermittlungen

17.10.18 - Die Beschlagnahmefähigkeit von Unterlagen aus Internal Investigations – zugleich eine Besprechung des BVerfG, Beschluss von 27.6.2018, Az. BvR 1405/17, 2 BvR 1780/17

17.10.18 - Internal Investigations – Rechtslage, Gestaltungsmöglichkeiten und rechtspolitischer Handlungsbedarf

17.10.18 - Von kleinen Aufmerksamkeiten und großen Geschenken – was ist erlaubt?

19.09.18 - Die Einführung des Wettbewerbsregisters fügt dem Sammelsurium an Registern ein weiteres hinzu

18.09.18 - Die wichtigen Compliance-Elemente "Information" und "Schulung" dürfen nicht zu einer reinen Pflichtveranstaltung werden

18.09.18 - Richtlinie zur Verwendung der E-Mail-Adressfelder "An", "CC" und "BCC"

18.09.18 - Fünfte Geldwäsche-Richtlinie - Auswirkungen in Deutschland

18.09.18 - Die 42 der Compliance - Das Kriterium der Wirksamkeit eines Compliance Management Systems

17.09.18 - Verlangt die Treuepflicht im Beschäftigungsverhältnis Missstände aufzudecken und Rechtskonformität einzufordern?

17.09.18 - Fünf Jahre Siemens-Entscheidung des LG München I

17.09.18 - Unternehmenskauf: Die Haftung des Verkäufers für verschwiegene Korruptionssachverhalte

17.09.18 - Aktienrechtliche Sonderprüfung bei Volkswagen

14.09.18 - Grundlagen und Einsatzfelder von Embedded Compliance

21.06.18 - Virtuelle Währungen und Blockchain-Technologie: Derzeit gibt es kaum klare Gesetze oder Vorschriften – weder national noch international

21.06.18 - Compliance - wenn man nicht alles selbst macht

20.06.18 - Unternehmensstrafrecht in Argentinien: Sanktionierung von Korruptionsdelikten

20.06.18 - Praktische Gestaltung des Ombudsmanns

20.06.18 - "Darf ich in Bitcoin zahlen?" - Geldwäscherisiken für Industrie- und Handels-Unternehmen bei Bitcoin-Transaktionen

20.06.18 - Der neue SPECTARIS-Code of Conduct zur Zusammenarbeit in der Gesundheitswirtschaft

19.06.18 - Das Verbot von Boykotterklärungen nach dem deutschen Außenwirtschaftsrecht

19.06.18 - Outsourcing bei Berufsgeheimnisträgern - strafrechtliche Verpflichtung zur Compliance?

19.06.18 - Anmerkungen zur geänderten Leniency-Politik des US-Justizministeriums in FCPA-Fällen

11.05.18 - Anwendung des Vertriebskartellrechts im Unternehmen

09.05.18 - Startup: Zunächst ist eine Risikoanalyse in Bezug auf das Startup und seine Compliance-Risiken erforderlich

09.05.18 - Überwachung und Kontrolle von Arbeitnehmern nach neuer Rechtsprechung

09.05.18 - Die neue EU-Richtlinie zum Schutz von Betriebsgeheimnissen und die Haftung Dritter

09.05.18 - Das Thema Compliance und Aufsichtsrat genießt leider dennoch nicht in allen Unternehmen den Stellenwert, den es nach Ansicht der Autoren einnehmen sollte

08.05.18 - Mitarbeiteramnestien bei der Aufklärung von Compliance-Verstößen

08.05.18 - Die steuerliche Behandlung von U.S.-Trusts und Compliance-Maßnahmen der Geschäftsführung

08.05.18 - Unternehmensstrafrecht: Der neue Kölner Entwurf eines Verbandssanktionengesetzes (VerbSG-E)

08.05.18 - Die "Dieselaffäre" und ihre Folgen für Compliance-Management-Systeme

22.02.18 - Rechtspflicht zur Einrichtung eines Hinweisgebersystems?

22.02.18 - Einkauf bietet "Angriffsfläche" für Compliance-Verstöße - Praktische Möglichkeiten zur Risikominimierung

21.02.18 - Gesetzliche Vorgaben für Supply Chain Compliance - Die neue Konfliktmineralien-Verordnung

21.02.18 - Das aktuelle US-Iran-Embargo und seine Bedeutung für die deutsche Exportwirtschaft

21.02.18 - Aus Perspektive der Compliance stellen Handelsvertreter ein erhebliches Risiko dar

21.02.18 - Die Festhaltenserklärung des Leiharbeitnehmers als Compliance-Risiko

20.02.18 - Compliance-Kontrollen und interne Ermittlungen nach der EU-Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz

20.02.18 - Entsprechend des Art. 1 Nr. 21 der Verordnung zur Änderung der Institutsvergütungsverordnung vom 25.7.2017 wurde nunmehr die Vorschrift des § 20 Abs. 6 InstitutsVergV einfachgesetzlich in ihrer nunmehr aktuell geltenden Fassung neu kodifiziert

20.02.18 - Die "Business Judgment Rule" (§ 93 Abs. 1 S. 2 AktG) - Vorbild für die zivil- und strafrechtliche Arzthaftung?

20.02.18 - Der Kölner Entwurf eines Verbandssanktionengesetzes – Hintergrund, Ziel und Grundzüge des Entwurfes

09.01.18 - Bei der Sanktionierung sind gewisse Parallelen zur Strafmaßbemessung im Strafrecht nicht zu übersehen

09.01.18 - Compliance-Herausforderungen bei der Erschließung neuer Märkte

09.01.18 - Kartellschadensersatz in Deutschland und Großbritannien: Strategische Überlegungen aus Kläger- und Beklagtensicht

09.01.18 - Dunkle Wolken über den transatlantischen Beziehungen

08.01.18 - Praxisprobleme im Zusammenhang mit dem Transparenzregister

08.01.18 - Besonderheiten bei der Festlegung der Vergütung von Vorstands- und Aufsichtsratsmitgliedern von Versicherungsunternehmen

08.01.18 - Gesetzliche Regelung unternehmensinterner Untersuchungen

08.01.18 - Bestehen oder Fehlen eines effizienten CMS bei der Bemessung einer Geldbuße

05.10.17 - Geldwäsche-Compliance im Industrieunternehmen

04.10.17 - Herausforderungen beim Aufeinandertreffen von Verhaltenskodizes bei der Geschäftsanbahnung

04.10.17 - Geschäftspartner-Compliance - Wichtig wie nie zuvor, aber wie etabliert mein Unternehmen einen angemessenen Prozess?

04.10.17 - Entwurf zur Antimonopol-Compliance in Russland

04.10.17 - Hinweise des Bundeskartellamts zum Preisbindungsverbot in Vertikalverhältnissen

02.10.17 - Compliance-Verantwortliche reagieren auf einer sachlichen Ebene, erklären ihr Vorgehen und versuchen, die Ansprechpartner zu überzeugen

02.10.17 - Ratschläge, die der Zeugenbeistand dem Zeugen, insbesondere vor dem Interview, geben kann

02.10.17 - Das englische Einfallstor - Wie sicher sind Interviewprotokolle unternehmensinterner Ermittlungen?

02.10.17 - Vertraglicher Geheimnisschutz im Kunden-Lieferanten-Verhältnis

08.09.17 - "Unter Freunden" - Interessenkonflikte erkennen. vermeiden und bereinigen

07.09.17 . Für ein Unternehmen ist es existenziell, die Mitarbeiter mit dem Thema Werte zu erreichen und sie von der Richtigkeit und Wichtigkeit der Unternehmensethik zu überzeugen

07.09.17 - Ein Eintrag in die Insiderliste ist vorzunehmen, sobald der Zugang zu einer "Insiderinformation" im Raum steht

07.09.17 - Ein "Berliner Compliance Modell" (BCM) - oder: Die Herausforderung, Orientierung für Compliance zu schaffen

07.09.17 - Sanktionierung von Bankmitarbeitern nach dem Geldwäschegesetz-Entwurf

06.09.17 - Die neue Institutsvergütungsverordnung - im Widerstreit mit dem Arbeitsrecht

06.09.17 - Die neuen Vorgaben nach MiFID II - Teil 3 - Die Zulässigkeit und Offenlegung von Zuwendungen

06.09.17 - Kopplungsgeschäfte und Korruption (§ 299 StGB) - Die Grenzen der Privatautonomie

06.09.17 - Unter Beobachtung - Der amerikanische Monitor im deutschen Unternehmen

14.06.17 - Das Thema Kommunikation wird in der Compliance oft vernachlässigt

14.06.17 - Compliance bei Joint Ventures und MinderheitsbeteiIigungen

14.06.17 - Neue Betrugsformen im Internet - weshalb Regelungen und Verhaltensanweisungen nicht ausreichen

14.06.17 - Grundsätze der Arbeitnehmerhaftung und Compliance-Verstöße

13.06.17 - Grenzen im Kampf um kluge Köpfe - Strafrechtliche Risiken bei der Abwerbung von Mitarbeitern

13.06.17 - Compliance beim Einrichten und Betreiben von Arbeitsstätten

13.06.17 - Änderungen des DCGK betreffen Compliance Management-Systeme

12.06.17 - DS-GVO: Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externe

12.06.17 - DOJ veröffentlicht neue "Compliance-Program Evaluation Guidance"

12.06.17 - Die Pläne zur Errichtung eines zentralen Transparenzregisters


24.04.17 - Bestechung im geschäftlichen Verkehr: Brasilien ist eines der wenigen Länder, die derzeit noch keine Strafvorschriften in Bezug auf Bestechung und Bestechlichkeit im geschäftlichen Verkehr besitzen

24.04.17 -Trotz der hohen Verbreitung fehlen vielen Unternehmen ausreichende Open-Source-Compliance-Systeme: Dies kann fatale Folgen haben

24.04.17 - Konzeption zur wirtschaftlichen Ausgestaltung kartellrechtlicher Compliance-Maßnahmen

24.04.17 - "Loi Sapin 211: Die Revolution im französischen Anti-Korruptionsrecht

25.04.17 - Warum Compliance-Regeln das Strafbarkeitsrisiko nach der Neufassung des § 299 StGB erhöhen

25.04.17 - Compliance-Risiko: Was ist das? - Ein Blick in die Banken

25.04.17 - Der Regierungsentwurf zur Umsetzung der Vierten EU-Geldwäscherichtlinie

25.04.17 - Nicht nur die Aufgabe birgt ein potenzielles Korruptionsrisiko, sondern auch der Mensch, der sie ausführt

26.04.17 - Wie führt man eine Risikoanalyse prozesssicher durch

26.04.17 - Compliance-Prüfung bei Spenden und Sponsoring-Aktivitäten

26.04.17 - Fehlende Compliance als Strafmilderungsgrund?

20.03.17 - Ein verständliches Compliance-Regelwerk, oder: wie sage ich's den Mitarbeitern?

20.03.17 - Effektive Compliance im Kartellrecht: Von der Verbandsanalyse zur Risikominimierung

20.03.17 - Die Führungskräfte im Zentrum eines funktionierenden Compliance Management Systems

17.03.17 - Compliance bei Unternehmenstransaktionen: M&A-Prozesse sind mit erheblichen Compliance-Risiken behaftet


17.03.17 - Erleichterungen für Konzernsachverhalte durch die Europäische Datenschutz-Grundverordnung (DS-GVO)?

17.03.17 - Beschlagnahme von Unterlagen beim Ombudsmann?

17.03.17 - Vorstandspflichten und Compliance-Anforderungen im eingetragenen Verein

16.03.17 - Die Aufzeichnungspflichten betreffend Telefongespräche und elektronischer Kommunikation

16.03.17 - Leitfaden zum Einsatz quantitativer Verfahren in der Aufdeckung kartellrechtlichen Fehlverhaltens

30.01.17 - Compliance, Big Data und die Macht der Datenvisualisierung

30.01.17 - Hinweise zur Beurteilung des Risikos kartellrechtlicher Verstöße am Beispiel des Konsumgütersektors

27.01.17 - Befragungstaktik und Aussagepsychologie bei unternehmensinternen kartellrechtlichen Untersuchungen

27.01.17 - Mehr Klarheit bei Kontoeröffnungen für Flüchtlinge

27.01.17 - Die neuen Vorgaben nach MiFID II

26.01.17 - Warum bestehende Methoden zur Wirkungsmessung von Compliance so wenig über deren Erfolg aussagen

26.01.17 - Leitfaden des Deutschen Caritasverbandes für Entscheidungen im Management christlicher Organisationen

26.01.17 - Compliance und Benediktsregel eine Gegenüberstellung

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Recht

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

  • Im Fokus: Unternehmensexterne Compliance-Beratung

    Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

  • Compliance bei Datentransfers im Konzern

    In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

  • Compliance und Datenschutz im Unternehmen

    Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

  • Arbeitsrecht und Compliance-Regelungen

    Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.