- Anzeigen -

Sie sind hier: Home » Fachartikel » Recht

Kartellrechts-Compliance und Datenschutz


Incompliant Compliance: Kartellrechts-Compliance-Prüfungen im Minenfeld der Datenschutzgesetze
Wenn die Kartellrechts-Compliance-Prüfung Unternehmen oder Geschäftsbereiche in der EU betrifft, darf der Rechtsrahmen der Europäischen Datenschutzgesetze nicht übertreten werden


Dr. Volker Soyez:
Dr. Volker Soyez: Kartellrechts-Compliance-Prüfungen fallen teilweise in den Bereich der Datenschutzgesetze, Bild: Lorenz

Von Dr. Volker Soyez / Jan Dhont, Lorenz Brüssel

(25.08.08) - Kartellrechts-Compliance-Programme sprießen derzeit wie Pilze aus dem Boden. Unternehmen haben verstanden, dass Kartellrechts-Compliance-Programme ein integraler Bestandteil unternehmerischen Risikomanagements sind. Es herrscht allgemeines Bewusstsein, dass kein Industriezweig und kein Unternehmen immun ist gegen die Kartellrechtsrisiken. Die Zeiten sind vorbei, in denen Unternehmen keine Gedanken auf Kartellrechts-Compliance verschwendet haben und sich dadurch erheblichen Risiken ausgesetzt haben – insbesondere der Gefahr empfindlicher Bußgelder. Unternehmen haben vielmehr erkannt, dass die Analyse und Kontrolle der relevanten Kartellrechtsrisiken im Unternehmen eine notwendige unternehmerische Pflicht darstellen.

Der Weg zur Identifizierung möglicher Kartellrechts-Verstöße und -Risiken in den eigenen Reihen führt regelmäßig über Kartellrechts-Compliance-Prüfungen (neudeutsch: Antitrust Audits). Solche Prüfungen beinhalten eine umfassende und detaillierte Analyse der wirtschaftlichen Tätigkeit des Unternehmens unter besonderer Berücksichtigung der Beziehungen zu Wettbewerbern, Zulieferern und Kunden. Eine der wichtigsten Komponenten solcher Kartellrechts-Compliance-Prüfungen ist die Durchsicht und Auswertung von Unternehmensdaten und -dokumenten, einschließlich interner und externer Kommunikation – vor allem E-Mail-Kommunikation. Je mehr relevante Daten ein Unternehmen für die Prüfung verfügbar machen kann, desto wasserdichter wird das Ergebnis der Prüfung letztendlich sein.

Heutzutage existieren die meisten der relevante Daten in elektronischer Form, so dass diese zunächst von den Unternehmens-Servern und -Computern heruntergeladen und kopiert werden müssen, bevor mit der Durchsicht und Auswertung begonnen werden kann. Hierzu werden die Daten mittlerweile standardmäßig in virtuelle Datenräume geladen, d.h. auf den Servern eines externen IT Dienstleisters gespeichert. Ein Aussortieren offensichtlich irrelevanter Dateien erfolgt zu diesem Zeitpunkt in der Regel nicht. Vielmehr gilt das Motto "je mehr Daten desto besser", und es bleibt ausschließlich dem "Review.Team" vorbehalten, darüber zu entscheiden, was relevant ist und was nicht. Die einzelnen Mitglieder des Review-Teams sind oft über den Globus verteilt.

Die Verwendung von virtuellen Datenräumen erlaubt es ihnen, unabhängig von ihrem Aufenthaltsort auf die eingespeisten Daten über das Internet zuzugreifen. Dokumente, die als relevant für die Zwecke der Kartellrechts-Compliance-Prüfung identifiziert und markiert wurden, werden dann weiter verarbeitet (d.h. ausgedruckt, kopiert, kategorisiert, klassifiziert, in Mitarbeiterinterviews diskutiert etc.) und letztendlich zur Verteidigung der Unternehmensinteressen verwendet – insbesondere im Rahmen von kartellbehördlichen Ermittlungsverfahren oder im Zivilprozess. Die Individuen, von denen die jeweiligen Daten und Dokumente stammen bzw. auf die sie sich beziehen, werden nur selten über all dies informiert, geschweige denn um Erlaubnis gefragt.

In den USA stößt diese Vorgehensweise auf keine weiteren datenschutzrechtlichen Bedenken, da die US-amerikanischen Datenschutzgesetze im Allgemeinen keine Anwendung finden, soweit Daten betroffen sind, die auf firmeneigenen Servern und Computern gespeichert sind. Solche Daten gelten als "professional" und gerade nicht als "private", so dass der Schutzbereich der US-amerikanischen Datenschutzgesetze nicht eröffnet ist.

Wenn die Kartellrechts-Compliance-Prüfung jedoch Unternehmen oder Geschäftsbereiche in der EU betrifft, ist höchste Vorsicht geboten, um den Rechtsrahmen der Europäischen Datenschutzgesetze nicht zu übertreten. Anders als in den USA sind nach den Europäischen Datenschutzgesetzen der Zugriff und die Nutzung von personenbezogenen Daten auf Unternehmens-Servern und -Computern weitgehend eingeschränkt. Neben den datenschutzrechtlichen Regelungen können sich zusätzliche Beschränkungen für den Bereich der elektronischen Kommunikation (also insbesondere für den Zugriff auf E-Mail-Korrespondenz) ergeben, der durch Telekommunikationsgesetze und in einigen Mitgliedstaaten durch Kollektivarbeitsverträge geregelt wird. Ferner wird der Zugriff auf E-Mails durch die nationalen Regeln über das Fernmeldegeheimnis beschränkt. Das Lokalisieren, Kopieren, Durchsehen, Auswählen und die weitere Verwendung von Unternehmensdaten und -Dokumenten erfordert daher erhöhte Weit- und Vorsicht, damit die Kartellrechts-Compliance-Prüfung nicht den rechtlichen Rahmens sprengt, der durch diese Gesetze abgesteckt wird. Die Bedeutung und Reichweite der Europäischen Datenschutzrechte kann nicht überbetont werden. Verstöße gegen Europäisches Datenschutzrecht können empfindliche Sanktionen in Form von Bußgeldern und in manchen Fällen sogar Gefängnisstrafen nach sich ziehen.

In der Regel ist davon auszugehen, dass Kartellrechts-Compliance-Prüfungen zumindest teilweise in den Anwendungsbereich der Datenschutzgesetze fallen, nämlich soweit der Tatbestand der "Erhebung, Verarbeitung oder Nutzung personenbezogener Daten" betroffen ist (vgl. Art. 3 der Datenschutzrichtlinie 95/46 EC; § 1 Abs. 2 BDSG). Dies ist zumindest immer dann der Fall, wenn die Prüfung auch E-Mail-Korrespondenz von Unternehmensmitarbeitern mit einbeziehen soll, die nach der Entscheidungspraxis der meisten Europäischen Datenschutzbehörden stets als "personenbezogene Daten" zu qualifizieren sind. Der Begriff der "Verarbeitung und Nutzung” wird bekanntlich sehr weit definiert und umfasst de facto alles das, was im Rahmen einer Kartellrechts-Compliance-Prüfung standardmäßig geschieht.

Um nicht mit den einschlägigen Datenschutzgesetzen in Konflikt zu geraten, müssen Unternehmen, die eine Kartellrechts-Compliance-Prüfung durchführen wollen, daher besondere Vorkehrungen treffen und Verhaltensregeln beachten.

Der Zugriff auf personenbezogene Daten ist nur dann zulässig, wenn ein ausreichender Rechtsgrund hierfür besteht. Einen solchen Rechtsgrund können insbesondere die auf Art. 7 f) der Europäischen Datenschutzrichtlinie gestützten nationalen Regelungen in den Mitgliedstaaten sein, nach denen personenbezogene Daten verarbeitet werden dürfen, wenn dies erforderlich ist zur Wahrnehmung eines überwiegenden berechtigten Interesses.

Hier lässt sich argumentieren, dass die Gewährleistung und Kontrolle von Kartellrechts-Compliance im Unternehmen ein solches überwiegendes Interesse darstellt. Zu beachten ist jedoch, dass ein Zugriff auf private E-Mails, Ordner und Dokumente nur in Ausnahmefällen auf die Rechtfertigung des überwiegenden Unternehmensinteresses gestützt werden kann. Sofern sich solche privaten personenbezogenen Daten unter den zu prüfenden Datensätzen befinden (was sich regelmäßig nicht vollständig ausschließen lässt), führt in der Regel kein Weg an einer Einwilligung durch die betroffenen Personen vorbei. Ohne eine solche Einwilligung besteht die ernste Gefahr, dass der Zugriff und die Verarbeitung derartiger Daten rechtswidrig ist. In diesem Zusammenhang ist wichtig, dass nach der Entscheidungspraxis in einigen EU-Mitgliedstaaten (z.B. in Belgien) E-Mails stets als "privat" gelten, so dass eine Prüfung von E-Mails im Geltungsbereich der einschlägigen Datenschutzrechte niemals ohne ausdrückliche Einwilligung des Betroffenen auskommt. Ferner ist zu beachten, dass nach zahlreichen nationalen Telekommunikationsgesetzten eine Einwilligung des Betroffenen ebenfalls erforderlich sein kann, wenn die Kartellrechts-Compliance-Prüfung auch E-Mail-Korrespondenz umfassen soll.

Das Einholen von Einwilligungserklärungen der betroffenen Personen ist daher in der Regel der sicherste Weg, um datenschutzrechtlichen Problemen aus dem Weg zu gehen. Zu bedenken ist insofern, dass datenschutzrechtliche Einwilligungserklärungen hohen Anforderungen unterliegen, die zudem in den verschiedenen EU-Mitgliedstaaten variieren können.

Die Einwilligung ist in nur dann wirksam, wenn sie auf der freien und informierten Entscheidung der betroffenen Personen beruht. Dies setzt voraus, dass die betroffenen Personen auf den vorgesehenen Zweck der Datenverarbeitung bzw. -nutzung hingewiesen werden. Außerdem müssen die Betroffenen darüber aufgeklärt werden, welche persönlichen Konsequenzen sich für diese ergeben können, wenn die Kartellrechts-Compliance-Prüfung belastendes Material hervorbringt. Die Einwilligung bedarf zudem oftmals der Schriftform. Ferner muss die Einwilligung bereits vor dem Zugriff auf die personenbezogenen Daten vorliegen. Eine nachträgliche Genehmigung ist nicht möglich. Die Einwilligung muss außerdem spezifisch und konkret sein. Eine generelle Einwilligung in einem Anstellungsvertrag, in einer "Privacy Policy" oder in den Betriebsregeln des Unternehmens reicht daher nicht aus. Derartige Einwilligungserklärungen werden als nicht spezifisch genug angesehen. Zudem vertreten einige Datenschutzbehörden in der EU den Standpunkt, dass die Freiwilligkeit einer solchen Einverständniserklärung wegen der "assymetrischen" Machtverteilung zwischen Unternehmen und Mitarbeiter nicht angenommen werden könne. In einer erheblichen Zahl von EU-Mitgliedsstaaten steht der Zugang zu privaten E-Mails und Dokumenten zudem unter kollektivarbeitsvertraglichen Vorbehalten wie beispielsweise der Mitbestimmung durch den Betriebsrat. Teilweise ist auch die vorherige Zustimmung durch die zuständige Datenschutzbehörde erforderlich.

Jan Dhont:
Jan Dhont: Zugriff auf personenbezogene Daten ohne ausreichenden Rechtsgrund unzulässig, Bild: Lorenz

Die betroffenen Personen – also diejenigen Individuen, auf die sich die personenbezogenen Daten beziehen – sind stets über die Verarbeitung bzw. Nutzung ihrer personenbezogenen Daten im Rahmen der Kartellrechts-Compliance-Prüfung zu informieren.

Die insofern erforderlichen Minimalauskünfte sind:
>> die Identität des für die Verarbeitung Verantwortlichen (also in der Regel der Anwälte, die mit der Durchsicht und
>> Aufarbeitung der Daten betraut werden), die Zweckbestimmung der Verarbeitung (also das Aufspüren von
>> Kartellrechtsverstößen im Unternehmen sowie die Identifizierung genereller Kartellrechtsrisiken),
>> die mögliche weitere Verwendung der Daten (z.B. im Rahmen kartellbehördlicher Ermittlungsverfahren oder für Zivilprozesse),
>> und das Bestehen von Widerspruchs-, Auskunfts- und Berichtigungsrechten für die betroffenen Personen.
Ohne eine solche Aufklärung, ist das Durchsehen von Unternehmensdokumenten mit personenbezogenen Daten schlicht illegal.

Die erforderliche Aufklärung muss vor dem Beginn der Kartellrechts-Compliance-Prüfung vorliegen. Die Aufklärung kann grundsätzlich auch in Anstellungsverträgen, der Privacy Policy oder über entsprechende Regelungen in der Betriebsordnung des Unternehmens geschehen, sofern diese ausdrücklich und spezifisch die Möglichkeit des Zugriffs und der weiteren (konkreten) Nutzung von Unternehmensdokumenten mit personenbezogenen Daten für die Zwecke einer Kartellrechts-Compliance-Prüfung vorsehen. Für den Fall, dass die entsprechenden Anstellungsverträge, Privacy Policies oder Betriebsregeln insofern keine Regelung enthalten, ist das zusätzliche vorherige Inkenntnissetzen der Betroffenen unerlässlich, um personenbezogenen Daten rechtmäßig im Rahmen des Kartellrechts-Compliance-Prüfung auswerten und verwenden zu können.

Der Zugriff auf personenbezogene Daten muss ferner den Anforderungen des Verhältnismäßigkeitsgrundsatzes genügen. Das bedeutet insbesondere, dass der Umfang des Zugriffs und der Verarbeitung der personenbezogenen Daten für den (legitimen) Zweck der Kartellrechts-Compliance-Prüfung erforderlich ist und nicht darüber hinausgehen darf. Die Datenverarbeitung muss also stets auf die mildeste noch erfolgversprechende Art und Weise geschehen. Hierzu gehört auch, dass Unternehmen Strategien entwickeln, um die zu prüfenden Datensätze inhaltlich und umfänglich soweit zu reduzieren, wie dies für die erfolgreiche und effiziente Durchführung der Kartellrechts-Compliance-Prüfung erforderlich ist. Dies beinhaltet, dass solche (Kategorien von) personenbezogenen Daten auszuschließen sind, die offensichtlich ohne Relevanz für die Zwecke der Kartellrechts-Compliance-Prüfung sind. Diese Selektierung und Reduzierung des Datenmaterials hat vor Beginn der Datenverarbeitung zu geschehen und erfordert die Schaffung effizienter System-Infrastrukturen, um relevante Daten auf den Unternehmens-Servern und -Computern zu lokalisieren und von irrelevanten Daten zu trennen. Der oben erwähnte "Je mehr desto besser"-Ansatz wird diesen Ansprüchen nicht gerecht.

Zu beachten ist, dass selbst der begründete Verdacht eines Kartellrechtsverstoßes (beispielsweise nachdem ein Ermittlungsverfahren gegen das Unternehmen eingeleitet wurde) nichts an den geschilderten Anforderungen und Formalitäten für die Verarbeitung personenbezogener Daten ändert, da die Datenschutzrechte allgemein dem Bereich der öffentlichen Ordnung zugeordnet werden.

Zusätzliche datenschutzrechtliche Beschränkungen und Anforderungen bestehen, wenn personenbezogene Daten in ein Drittland versendet werden, in dem kein angemessener Datenschutz besteht. Zu diesen Ländern zählt unter anderem auch die USA, so dass diese zusätzlichen Beschränkungen/Anforderungen bereits immer dann relevant werden, wenn der Zugriff auf den virtuellen Datenraum (zumindest teilweise) aus den USA erfolgt. Ein solcher internationaler Datentransfer ist im Grundsatz verboten, es sei den es besteht im konkreten Fall eine besondere Rechtsgrundlage. In diesem Zusammenhang ist erwähnenswert, dass die Verpflichtungen im Rahmen von Discovery-Beweisverfahren (wie zum Beispiel nach Rule 34 der US Federal Rules of Civil Procedure) keine ausreichende Rechtsgrundlage darstellen, wenn nicht zusätzliche Vorkehrungen zum Datenschutz getroffen werden. In diesen Fällen ist besondere Vorsicht geboten, da sowohl ein Verstoß gegen die Discovery-Vorschriften als auch gegen die Datenschutzrechte mit Kriminalstrafen bedroht sein kann.

Unternehmen können die Datenschutzrisiken minimieren und gleichzeitig den Zugang zu Dokumenten mit personenbezogenen Informationen maximieren, wenn sie maßgeschneiderte Datenschutzrichtlinien erlassen. Solche Datenschutzrichtlinien müssen die konkreten Umstände des Zugriffs und der Verwendung der Daten vorsehen, sowie den jeweiligen Standort der personenbezogenen Daten als auch die Regelungsunterschiede in den jeweils einschlägigen Rechtsordnungen berücksichtigen.

Die Entwicklung und Einführung von Datenschutzrichtlinien im Unternehmen verlangt zudem, dass sie Datentransfer-Strategien und Einverständnis-Mechanismen einbeziehen. Unter diesen Voraussetzungen schaffen Datenschutzrichtlinien Klarheit über den Datenschutz-Status von Unternehmensdokumenten mit personenbezogenen Daten und können den Zugriff auf diese erleichtern, sofern die einschlägigen Datenschutzrechte hier einen gewissen Regelungsspielraum einräumen. Während ein "Zero risk"-Ansatz in der Praxis illusorisch ist, wird ein frühzeitiges Kontrollieren und Reduzieren der Datenschutzrisiken dazu führen, dass höhere Punktzahlen sowohl bei der Kartellrechts-Compliance als auch bei der Datenschutz-Compliance erzielt werden. (Lorenz: ra)

Die Autoren

Jan Dhont, Partner
Brüssel - Lorenz, Attorneys at Law

Expertises
>> E-Health und Medizinrecht
>> Europäisches Recht und Planungsrecht
>> Handelsrecht und Verbraucherrecht
>> IT und Datenschutz

Arbeitsprofil
Jan Dhont hat sich im Datenschutzrecht und dem Recht der Privatsphäre sowie Informationstechnologierecht spezialisiert. Er verfügt über weitreichende Erfahrungen im Bereitstellen von Datenschutzlösungen für die pharmazeutische Industrie, Versicherungen, Bankwesen, und Unternehmen der Direktvermarktungsbranche, der Reisebranche, der Personalwerbungs- und Telekommunikationsindustrie.
Herr Dhont berät auch nationale und internationale Mandanten in planungs- und produktzulassungsrechtlichen Fragen, Fragen der Produkthaftung und wirtschaftlichen Transaktionen.


Volker Soyez, Partner
Brüssel - Lorenz, Attorneys at Law

Expertises
>> Antitrust Compliance Programs
>> Europäisches und deutsches Kartellrecht
>> Kartellbußgeldverfahren
>> Vertriebsrecht
>> Arbeitsprofil
>> Antitrust Compliance Programs
>> Europäisches und deutsches Kartellrecht
>> Kartellbußgeldverfahren
>> Vertriebsrecht

Arbeitsprofil
Volker Soyez leitet den Bereich Kartellrecht bei Lorenz.
Er berät Unternehmen in sämtlichen Rechtsfragen des Europäischen und deutschen Kartellrechts. Über weitreichende Erfahrungen verfügt Herr Soyez ins besondere in den Bereichen EG-Kartellbußgeldverfahren sowie in der Erstellung und Durchführung von Kartellrechts-Compliance-Programmen.



Corporate Compliance Zeitschrift

Corporate Compliance Zeitschrift
Corporate Compliance Zeitschrift Fachartikel zum Thema Corporate Compliance

Lesen Sie weitere Compliance-Themen
in der Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Corporate Compliance Zeitschrift“ (CCZ) heißt die neueste juristische Fachzeitschrift zur Haftungsvermeidung im Unternehmen. Die CCZ erscheint seit Januar 2008 sechsmal jährlich in den Verlagen C.H.Beck / Franz Vahlen und wird von Compliance-Magazin.de (Hrsg. Presse, Messe & Kongresse Verlags GmbH) vertrieben.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [105 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [104 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [40 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [40 KB]


Leseproben der Corporate Compliance Zeitschrift (CCZ)

19.12.18 - Aus der Praxis für die Praxis: Zur zivilrechtlichen Rechtsverfolgung von "Compliance"-Sachverhalten und deren Abwicklung

19.12.18 - VCI/BCM-Position für ein moderneres Unternehmenssanktionsrecht

18.12.18 - CSR meets Compliance - Über die zunehmende Verrechtlichung der Corporate Social Responsibility

18.12.18 - Auskehrung von eingefrorenen Geldern nach einem Betrug: Die Regelung soll helfen, die von der chinesischen Behörde eingefrorenen Guthaben schneller an den Geschädigten auszukehren

18.12.18 - Selbstanzeige von Unternehmen bei Bestechungsdelikten und Kartellrechtsverstößen in Russland

18.12.18 - Die Reform des Geheimnisschutzes aus Sicht der Compliance-Abteilung - Ein Überblick

17.12.18 - Arbeit 4.0: Compliance-rechtliche Herausforderungen infolge der Determination des sozialversicherungsrechtlichen Status

17.12.18 - Die janusköpfigen Verschwiegenheitsrechte und -pflichten des Rechtsanwalts in der Funktion einer Ombudsperson

17.12.18 - Der Einfluss des Transparenzgrundsatzes der DSGVO auf die Durchführung interner Ermittlungen

18.10.18 - Wie sieht die Rolle von Compliance-Abteilungen in M&A-Prozessen aus?

18.10.18 - Handlungsoptionen bei Fehlverhalten Dritter

18.10.18 - CLOUD Act: Selbst für die Wolken gibt es Grenzen

18.10.18 - Key Performance Indicators zur Messung der Effizienz eines Datenschutz-Management-Systems (DSMS)

17.10.18 - Der privilege-waiver durch oral-downloads – eine (nicht ganz) neue Herausforderung für unternehmensinterne Ermittlungen

17.10.18 - Die Beschlagnahmefähigkeit von Unterlagen aus Internal Investigations – zugleich eine Besprechung des BVerfG, Beschluss von 27.6.2018, Az. BvR 1405/17, 2 BvR 1780/17

17.10.18 - Internal Investigations – Rechtslage, Gestaltungsmöglichkeiten und rechtspolitischer Handlungsbedarf

17.10.18 - Von kleinen Aufmerksamkeiten und großen Geschenken – was ist erlaubt?

19.09.18 - Die Einführung des Wettbewerbsregisters fügt dem Sammelsurium an Registern ein weiteres hinzu

18.09.18 - Die wichtigen Compliance-Elemente "Information" und "Schulung" dürfen nicht zu einer reinen Pflichtveranstaltung werden

18.09.18 - Richtlinie zur Verwendung der E-Mail-Adressfelder "An", "CC" und "BCC"

18.09.18 - Fünfte Geldwäsche-Richtlinie - Auswirkungen in Deutschland

18.09.18 - Die 42 der Compliance - Das Kriterium der Wirksamkeit eines Compliance Management Systems

17.09.18 - Verlangt die Treuepflicht im Beschäftigungsverhältnis Missstände aufzudecken und Rechtskonformität einzufordern?

17.09.18 - Fünf Jahre Siemens-Entscheidung des LG München I

17.09.18 - Unternehmenskauf: Die Haftung des Verkäufers für verschwiegene Korruptionssachverhalte

17.09.18 - Aktienrechtliche Sonderprüfung bei Volkswagen

14.09.18 - Grundlagen und Einsatzfelder von Embedded Compliance

21.06.18 - Virtuelle Währungen und Blockchain-Technologie: Derzeit gibt es kaum klare Gesetze oder Vorschriften – weder national noch international

21.06.18 - Compliance - wenn man nicht alles selbst macht

20.06.18 - Unternehmensstrafrecht in Argentinien: Sanktionierung von Korruptionsdelikten

20.06.18 - Praktische Gestaltung des Ombudsmanns

20.06.18 - "Darf ich in Bitcoin zahlen?" - Geldwäscherisiken für Industrie- und Handels-Unternehmen bei Bitcoin-Transaktionen

20.06.18 - Der neue SPECTARIS-Code of Conduct zur Zusammenarbeit in der Gesundheitswirtschaft

19.06.18 - Das Verbot von Boykotterklärungen nach dem deutschen Außenwirtschaftsrecht

19.06.18 - Outsourcing bei Berufsgeheimnisträgern - strafrechtliche Verpflichtung zur Compliance?

19.06.18 - Anmerkungen zur geänderten Leniency-Politik des US-Justizministeriums in FCPA-Fällen

11.05.18 - Anwendung des Vertriebskartellrechts im Unternehmen

09.05.18 - Startup: Zunächst ist eine Risikoanalyse in Bezug auf das Startup und seine Compliance-Risiken erforderlich

09.05.18 - Überwachung und Kontrolle von Arbeitnehmern nach neuer Rechtsprechung

09.05.18 - Die neue EU-Richtlinie zum Schutz von Betriebsgeheimnissen und die Haftung Dritter

09.05.18 - Das Thema Compliance und Aufsichtsrat genießt leider dennoch nicht in allen Unternehmen den Stellenwert, den es nach Ansicht der Autoren einnehmen sollte

08.05.18 - Mitarbeiteramnestien bei der Aufklärung von Compliance-Verstößen

08.05.18 - Die steuerliche Behandlung von U.S.-Trusts und Compliance-Maßnahmen der Geschäftsführung

08.05.18 - Unternehmensstrafrecht: Der neue Kölner Entwurf eines Verbandssanktionengesetzes (VerbSG-E)

08.05.18 - Die "Dieselaffäre" und ihre Folgen für Compliance-Management-Systeme

22.02.18 - Rechtspflicht zur Einrichtung eines Hinweisgebersystems?

22.02.18 - Einkauf bietet "Angriffsfläche" für Compliance-Verstöße - Praktische Möglichkeiten zur Risikominimierung

21.02.18 - Gesetzliche Vorgaben für Supply Chain Compliance - Die neue Konfliktmineralien-Verordnung

21.02.18 - Das aktuelle US-Iran-Embargo und seine Bedeutung für die deutsche Exportwirtschaft

21.02.18 - Aus Perspektive der Compliance stellen Handelsvertreter ein erhebliches Risiko dar

21.02.18 - Die Festhaltenserklärung des Leiharbeitnehmers als Compliance-Risiko

20.02.18 - Compliance-Kontrollen und interne Ermittlungen nach der EU-Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz

20.02.18 - Entsprechend des Art. 1 Nr. 21 der Verordnung zur Änderung der Institutsvergütungsverordnung vom 25.7.2017 wurde nunmehr die Vorschrift des § 20 Abs. 6 InstitutsVergV einfachgesetzlich in ihrer nunmehr aktuell geltenden Fassung neu kodifiziert

20.02.18 - Die "Business Judgment Rule" (§ 93 Abs. 1 S. 2 AktG) - Vorbild für die zivil- und strafrechtliche Arzthaftung?

20.02.18 - Der Kölner Entwurf eines Verbandssanktionengesetzes – Hintergrund, Ziel und Grundzüge des Entwurfes

09.01.18 - Bei der Sanktionierung sind gewisse Parallelen zur Strafmaßbemessung im Strafrecht nicht zu übersehen

09.01.18 - Compliance-Herausforderungen bei der Erschließung neuer Märkte

09.01.18 - Kartellschadensersatz in Deutschland und Großbritannien: Strategische Überlegungen aus Kläger- und Beklagtensicht

09.01.18 - Dunkle Wolken über den transatlantischen Beziehungen

08.01.18 - Praxisprobleme im Zusammenhang mit dem Transparenzregister

08.01.18 - Besonderheiten bei der Festlegung der Vergütung von Vorstands- und Aufsichtsratsmitgliedern von Versicherungsunternehmen

08.01.18 - Gesetzliche Regelung unternehmensinterner Untersuchungen

08.01.18 - Bestehen oder Fehlen eines effizienten CMS bei der Bemessung einer Geldbuße

05.10.17 - Geldwäsche-Compliance im Industrieunternehmen

04.10.17 - Herausforderungen beim Aufeinandertreffen von Verhaltenskodizes bei der Geschäftsanbahnung

04.10.17 - Geschäftspartner-Compliance - Wichtig wie nie zuvor, aber wie etabliert mein Unternehmen einen angemessenen Prozess?

04.10.17 - Entwurf zur Antimonopol-Compliance in Russland

04.10.17 - Hinweise des Bundeskartellamts zum Preisbindungsverbot in Vertikalverhältnissen

02.10.17 - Compliance-Verantwortliche reagieren auf einer sachlichen Ebene, erklären ihr Vorgehen und versuchen, die Ansprechpartner zu überzeugen

02.10.17 - Ratschläge, die der Zeugenbeistand dem Zeugen, insbesondere vor dem Interview, geben kann

02.10.17 - Das englische Einfallstor - Wie sicher sind Interviewprotokolle unternehmensinterner Ermittlungen?

02.10.17 - Vertraglicher Geheimnisschutz im Kunden-Lieferanten-Verhältnis

08.09.17 - "Unter Freunden" - Interessenkonflikte erkennen. vermeiden und bereinigen

07.09.17 . Für ein Unternehmen ist es existenziell, die Mitarbeiter mit dem Thema Werte zu erreichen und sie von der Richtigkeit und Wichtigkeit der Unternehmensethik zu überzeugen

07.09.17 - Ein Eintrag in die Insiderliste ist vorzunehmen, sobald der Zugang zu einer "Insiderinformation" im Raum steht

07.09.17 - Ein "Berliner Compliance Modell" (BCM) - oder: Die Herausforderung, Orientierung für Compliance zu schaffen

07.09.17 - Sanktionierung von Bankmitarbeitern nach dem Geldwäschegesetz-Entwurf

06.09.17 - Die neue Institutsvergütungsverordnung - im Widerstreit mit dem Arbeitsrecht

06.09.17 - Die neuen Vorgaben nach MiFID II - Teil 3 - Die Zulässigkeit und Offenlegung von Zuwendungen

06.09.17 - Kopplungsgeschäfte und Korruption (§ 299 StGB) - Die Grenzen der Privatautonomie

06.09.17 - Unter Beobachtung - Der amerikanische Monitor im deutschen Unternehmen

14.06.17 - Das Thema Kommunikation wird in der Compliance oft vernachlässigt

14.06.17 - Compliance bei Joint Ventures und MinderheitsbeteiIigungen

14.06.17 - Neue Betrugsformen im Internet - weshalb Regelungen und Verhaltensanweisungen nicht ausreichen

14.06.17 - Grundsätze der Arbeitnehmerhaftung und Compliance-Verstöße

13.06.17 - Grenzen im Kampf um kluge Köpfe - Strafrechtliche Risiken bei der Abwerbung von Mitarbeitern

13.06.17 - Compliance beim Einrichten und Betreiben von Arbeitsstätten

13.06.17 - Änderungen des DCGK betreffen Compliance Management-Systeme

12.06.17 - DS-GVO: Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externe

12.06.17 - DOJ veröffentlicht neue "Compliance-Program Evaluation Guidance"

12.06.17 - Die Pläne zur Errichtung eines zentralen Transparenzregisters


24.04.17 - Bestechung im geschäftlichen Verkehr: Brasilien ist eines der wenigen Länder, die derzeit noch keine Strafvorschriften in Bezug auf Bestechung und Bestechlichkeit im geschäftlichen Verkehr besitzen

24.04.17 -Trotz der hohen Verbreitung fehlen vielen Unternehmen ausreichende Open-Source-Compliance-Systeme: Dies kann fatale Folgen haben

24.04.17 - Konzeption zur wirtschaftlichen Ausgestaltung kartellrechtlicher Compliance-Maßnahmen

24.04.17 - "Loi Sapin 211: Die Revolution im französischen Anti-Korruptionsrecht

25.04.17 - Warum Compliance-Regeln das Strafbarkeitsrisiko nach der Neufassung des § 299 StGB erhöhen

25.04.17 - Compliance-Risiko: Was ist das? - Ein Blick in die Banken

25.04.17 - Der Regierungsentwurf zur Umsetzung der Vierten EU-Geldwäscherichtlinie

25.04.17 - Nicht nur die Aufgabe birgt ein potenzielles Korruptionsrisiko, sondern auch der Mensch, der sie ausführt

26.04.17 - Wie führt man eine Risikoanalyse prozesssicher durch

26.04.17 - Compliance-Prüfung bei Spenden und Sponsoring-Aktivitäten

26.04.17 - Fehlende Compliance als Strafmilderungsgrund?

20.03.17 - Ein verständliches Compliance-Regelwerk, oder: wie sage ich's den Mitarbeitern?

20.03.17 - Effektive Compliance im Kartellrecht: Von der Verbandsanalyse zur Risikominimierung

20.03.17 - Die Führungskräfte im Zentrum eines funktionierenden Compliance Management Systems

17.03.17 - Compliance bei Unternehmenstransaktionen: M&A-Prozesse sind mit erheblichen Compliance-Risiken behaftet


17.03.17 - Erleichterungen für Konzernsachverhalte durch die Europäische Datenschutz-Grundverordnung (DS-GVO)?

17.03.17 - Beschlagnahme von Unterlagen beim Ombudsmann?

17.03.17 - Vorstandspflichten und Compliance-Anforderungen im eingetragenen Verein

16.03.17 - Die Aufzeichnungspflichten betreffend Telefongespräche und elektronischer Kommunikation

16.03.17 - Leitfaden zum Einsatz quantitativer Verfahren in der Aufdeckung kartellrechtlichen Fehlverhaltens

30.01.17 - Compliance, Big Data und die Macht der Datenvisualisierung

30.01.17 - Hinweise zur Beurteilung des Risikos kartellrechtlicher Verstöße am Beispiel des Konsumgütersektors

27.01.17 - Befragungstaktik und Aussagepsychologie bei unternehmensinternen kartellrechtlichen Untersuchungen

27.01.17 - Mehr Klarheit bei Kontoeröffnungen für Flüchtlinge

27.01.17 - Die neuen Vorgaben nach MiFID II

26.01.17 - Warum bestehende Methoden zur Wirkungsmessung von Compliance so wenig über deren Erfolg aussagen

26.01.17 - Leitfaden des Deutschen Caritasverbandes für Entscheidungen im Management christlicher Organisationen

26.01.17 - Compliance und Benediktsregel eine Gegenüberstellung



Meldungen: Recht

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

  • Im Fokus: Unternehmensexterne Compliance-Beratung

    Mit Urteil vom 08. September 2011 (1 StR 38/11) hatte sich der Bundesgerichtshof in einer Revisionsentscheidung mit grundsätzlichen Fragen zur Vorsatzproblematik beim Straftatbestand der Steuerhinterziehung (§ 370 AO) zu befassen. Dabei hat er sich insbesondere dazu positioniert, inwieweit ein der Steuerhinterziehungsvorsatz durch Irrtümer des Steuerpflichtigen ausgeschlossen werden kann oder - gleichsam als Auffangtatbestand - eine leichtfertige Steuerverkürzung (§ 378 AO) in Betracht kommt.

  • Compliance bei Datentransfers im Konzern

    In dem neuen Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern" geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden.

  • Compliance und Datenschutz im Unternehmen

    Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz-Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

  • Arbeitsrecht und Compliance-Regelungen

    Zu moderner Compliance gehört ein verbindlicher Verhaltenskodex. Dieser stellt sicher, dass die Geschäftspolitik von Mitarbeitern und Geschäftsführung auch wirklich "gelebt" wird und Gesetze eingehalten werden. Darüber, wie man diesen Kodex erarbeitet und im Unternehmen einführt, machen sich nach Ansicht der Kanzlei Aulinger Rechtsanwälte viele Unternehmen jedoch nach wie vor zu wenig Gedanken.