Compliance Praxis 3_2019 by LexisNexis Österreich

www.compliance-praxis.at

Ausgabe 3 | 2019

Compliance Inside Der „perfekte“ Verhaltenskodex

Heuer bereits zum 6. Mal!

Schritt für Schritt zum maßgeschneiderten Code of Conduct

Compliance Soluঞons Day 2019

Im Brennpunkt Cybercrime

Die besten Lösungsanbieter verraten ihre Praxiserfahrungen. 1130 Wien

Apothekertrakt – Schloß Schönbrunn

„Cyber Threat Intelligence“ Gefahr durch dateilose Schadsoftware

25. September 2019

„Digitales Vermummungsverbot“ im Compliance-Check

Mi woch, 8:00 – 18:00 Uhr

Kalkuliertes Risiko – Compliance in unsicheren Zeiten

Versicherungen

• Highlight 2019: Der ehemalige dt. Finanzminister Theo Waigel im Gespräch mit Rainer Nowak. (GF und Herausgeber Die Presse) • Diskuঞeren Sie am Compliance Soluঞons Day mit über 300 Vertretern der Branche, erfahrenen Experten und renommierten Lösungsanbietern im Rahmen der Ausstellung. • Im 6. Jahr mit neuen Formaten, Best Pracঞce-Vorträgen und Experten-Talks ISSN 2220-6299

IDD – ein Jahr danach

ComplianceSoluঞonsDay

Medienpartner

Details unter: www.csd2019.at

„Es lohnt sich, anständig zu sein“ Elder Statesman Theo Waigel im Interview

Netzwerkpartner

BIConcepts

Software für Steuer-IKS und Risikomanagement made in Austria easy, weil ... modular einsetzbar effizienter und sicherer als Excel ©WWW.RAIMO.AT

lückenlose Überwachung von Prozessen vollintegrierbar in Outlook, Lotus Notes u.a. selbsterklärend und intuitiv zu bedienen

Kurz: easy, weil wirklich easy to use eine Software von

www.easygrc.at

EASY-TO-USE SOFTWARE

xxxxx_Fecton_easyGRC_Inserat_070819_final.indd 1

Handbuch Compliance

07.08.19 14:29

Dieses Buch beschreibt in bewährter Form zunächst, was unter Compliance zu verstehen ist. Es widmet sich dann den typischen Risikofeldern, die in 3. Auage abermals erweitert wurden. In weiterer Folge werden die wesentlichen Elemente eines CMS beschrieben, insbesondere die Funk�on des Compliance Oﬃcers, sowie worauf bei der Implemen�erung eines CMS zu achten ist. Schwerpunkt ist auch die Darstellung von forensischen Maßnahmen, insbesondere interne Untersuchungen, welche häug mi�els Computerforensik durchgeführt werden sowie die Risikopräven�on. Checklisten und Praxisbeispiele runden das Buch ab. Die Herausgeber: RA DDr. Alexander Petsche, MAES (Brügge) Mag. Karin Mair, CFE 3. Auage Preis: € 194,– Wien 2019 | ca. 900 Seiten Best.-Nr. 92009003 | ISBN 978-3-7007-6745-9

Ausschreibung ZFR-Award Zur Förderung des wissenschaftlichen Nachwuchses Die Herausgeber der Zeitschri[ für Finanzmarktrecht und der Verlag LexisNexis freuen sich, 2019 erstmals den ZFR-Award vergeben zu dürfen! Der Preis dient der Förderung des wissenscha[lichen Nachwuchses, der mit einer rechtswissenscha[lichen Abschlussarbeit zu einer Fragestellung aus dem österreichischen oder europäischen Finanzmarkt- und/oder Kapitalmarktrecht auf das wissenscha[liche Spektrum der ZFR abzielt. Vergeben wird der Preis an eine hervorragende Abschlussarbeit, die im Zeitraum zwischen 1. Oktober 2018 und 30. September 2019 zur Erlangung eines akademischen Grades als Master, Magister oder Doktor an einer österreichischen Universität approbiert wurde. Der ZFR-Award ist mit einem Geldpreis in Höhe von € 1.500,– sowie mit einer Publikaঞonszusage der approbierten Arbeit (ohne Druckkostenzuschuss) durch den Verlag LexisNexis doঞert. Ende der Einreichfrist ist der 30. September 2019. Weitere Informaঞonen zu den Teilnahmebedingungen nden Sie unter: h ps://lesen.lexisnexis.at/zs/zfr/ZFR-Preis.html

Award JETZT BESTELLEN!

Weil Vorsprung entscheidet.

E-Mail: kundenservice@lexisnexis.at | Tel.: +43-1-534 52-0 Versandkostenfreie Lieferung bei Bestellung unter shop.lexisnexis.at

mit freundlicher Unterstützung durch

Weil Vorsprung entscheidet.

Editorial Compliance p Praxis Sehr geehrte Leserinnen und Leser!

Foto Anna Rauchenberger

Einer aktuellen Studie zufolge bereiten neue Regulierungen den Versicherungen in Österreich am allermeisten Sorgen, noch vor den Themen Change Management oder Cybercrime. Es sind Vorgaben wie die Versicherungsvertriebsrichtlinie IDD, die auch ein Jahr nach Inkrafttreten noch Herausforderungen in der Umsetzung bereithalten. Welche das sind, erläutern Jarosch/Wastl in Ihrem interessanten Beitrag. Doch auch Cybercrime belegt heute in allen Unternehmen eine hervorgehobene Stellung auf der Risikolandkarte. Im „Brennpunkt“ der aktuellen Ausgabe beleuchten wir verschiedene Aspekte im Feld Cyberkriminalität und -sicherheit. Ein Modell für das präventive Einschätzen von Cyberrisiken entwerfen Mattes-Draxler/Nedelko in Ihrem Artikel zur „Cyber Threat Intelligence“, während Dobiasch/Holzgethan vor der neuen Bedrohung durch sogenannte „dateilose Schadsoftware“ warnen. Schließlich werfen Schütz und Pölzl einen kritischen Blick auf den Gesetzesentwurf zum „digitalen Vermummungsverbot“. Das Gesetz soll „Hass im Netz“ eindämmen, gerät allerdings ein wenig mit Datenschutz und dem Recht auf Meinungsfreiheit in Konflikt. Obwohl der Verhaltenskodex das absolute Minimum eines Compliance-Programms darstellt, lohnt sich immer wieder ein genauer Blick darauf. Gerade hier können Fehler passieren – weshalb Mlinarcsik in „Compliance Inside“ Schritt für Schritt zur Konzeption eines „perfekten“ Code of Conduct hinführt. Den Partner des Coverinterviews dürften nicht alle von Ihnen mit Legal Compliance in Verbindung bringen. Der ehemalige deutsche Finanzminister Theo Waigel – Hauptredner auf dem heurigen Compliance Solutions Day – war jedoch auch schon als sogenannter „Compliance Monitor“ im Einsatz. Für US-Strafverfolgungsbehörden hatte der Jurist die Compliance-Bemühungen von Siemens über vier Jahre hinweg zu evaluieren und steht damit in gewisser Weise am Anfang der ComplianceEntwicklung im deutschsprachigen Raum. Darüber hinaus erwarten Sie wie immer vielfältige, topaktuelle Themen in dieser Ausgabe der Compliance Praxis! Viel Spaß beim Lesen! Ihr

Alexander Petsche Schriftleiter Compliance Praxis

Compliance_Praxis_03_2019_(2015)_v5.indd 1

8/26/2019 6:36:47 PM

3/2019 9. Jahrgang

Aktuelles 4

Verantwortungsvoller Einsatz von Künstlicher Intelligenz als ComplianceAufgabe? Neue Rahmenwerke erleichtern den Einstieg in die Technical Compliance rund um Künstliche Intelligenz.

Management & Organisation 10

Risikomanagement in einer digitalen Welt mit „Cyber Threat Intelligence“ Systematische Maßnahmen zur Behandlung neuartiger Cyberbedrohungen sind heutzutage unerlässlich.

Dateilose Schadsoftware: Eine unsichtbare Gefahr Dateilose Malware ist schwer zu entdecken, da sie kaum Spuren hinterlässt. Eine Warnung.

IIASA-Studie erklärt, warum sich Korruption so schwer ausrotten lässt

Monitoring & Evaluation: Wie wirkungsvoll sind Anti-Korruptionsstrategien von internationalen Hilfsorganisationen? „Results-Based-Monitoring & Evaluation-Systeme“ zeigen, ob eine Anti-Korruptionsstrategie tatsächlich wirkungsvoll ist.

Forscher des Internationalen Instituts für angewandte Systemanalyse (IIASA) versuchten, die Hartnäckigkeit von Korruption trotz Gegenmaßnahmen zu erklären.

Schritt für Schritt zum „perfekten“ Verhaltenskodex Welche Fehler bei der Erstellung des Code of Conduct häuﬁg begangen werden und wie der Weg zum „perfekten“ Verhaltenskodex aussehen könnte.

Compliance Officer – Von der Pflicht zur Kür Ein Versuch, die aktuelle Situation der österreichischen Compliance Officer einzufangen und Denkanstöße zur Weiterentwicklung der Funktion zu geben.

Coverfoto: © imago images / IPON

Impressum: Offenlegung gemäß § 25 MedienG: Medieninhaber und Herausgeber iSd § 1 Abs 1 Z 8 und Z 9 MedienG: LexisNexis Verlag ARD Orac GmbH & Co KG | Sitz: Marxergasse 25, 1030 Wien | Unternehmensgegenstand: LexisNexis ARD Orac ist ein führender Fachverlag in Österreich im Bereich Steuern, Recht und Wirtschaft, der die Tradition der Verlagshäuser Orac und ARD unter internationalem Dach fortführt. LexisNexis ARD Orac ist ein Tochterunternehmen der international tätigen Verlagsgruppe RELX Group, deren Legal Division weltweit unter dem Namen LexisNexis ﬁrmiert. | Blattlinie: Rechtsinformation und Wirtschaftsinformation; aktuelle rechtliche Neuerungen | Geschäftsführung: Alberto Sanz de Lama | Unbeschränkt haftender Gesellschafter: Orac Gesellschaft m.b.H., Marxergasse 25, 1030 Wien | Kommanditist: Reed Messe Salzburg Gesellschaft m.b.H., Am Messezentrum 6, 5021 Salzburg | Beteiligungsverhältnisse: Alleiniger Gesellschafter der Orac Gesellschaft m.b.H.: Reed Elsevier Austria GmbH, Am Messezentrum 6, 5021 Salzburg | Gesellschafter der Reed Messe Salzburg Gesellschaft m.b.H.: Reed Elsevier Overseas B.V., Radarweg 29, 1043 NX Amsterdam (0,1 %), Reed Elsevier Austria GmbH, Am Messezentrum 6, 5021 Salzburg (99,9 %) | Alleiniger Gesellschafter der Reed Elsevier Austria GmbH: Reed Elsevier Overseas B.V., Radarweg 29, 1043 NX Amsterdam | Alleiniger Gesellschafter der Reed Elsevier Overseas B.V.: Reed Elsevier Holdings B.V., Radarweg 29, 1043 NX Amsterdam | Gesellschafter der Reed Elsevier Holdings B.V.: RELX Group plc, 1-3 Strand (http://www.relxgroup.com/aboutus/Pages/Home.aspx), London WC2N 5JR (50%), Reed Elsevier Holdings Ltd., 1-3 Strand, London WC2N 5JR (50 %) | Gesellschafter der RELX Group plc: RELX PLC (52,9 %), RELX NV (47,1 %) | Gesellschafter der RELX PLC: mehr als 75 % im Streubesitz | Gesellschafter der RELX NV: mehr als 75 % im Streubesitz | Gesellschafter der Reed Elsevier Holdings Ltd.: RELX Group plc (100 %) | Redaktion: Marxergasse 25, 1030 Wien | Druck: Prime Rate GmbH, H-1044 Budapest. Derzeit gilt Anzeigenpreisliste Stand 2019. | Die Zeitschrift erscheint 4x im Jahr; Jahresabonnement 2019: € 349,- exkl. 20 % MwSt (EU-Ausland: € 359,-). Versand ist im Preis inkludiert. Preisänderungen vorbehalten | Bankverbindung: Bank Austria AG, IBAN: AT48 1200 0504 2346 8600; BIC: BKAUATWW (Wien) | Zeitschriften-Jahresabonnements verlängern sich automatisch um ein Jahr zum dann gültigen Abo-Preis, wenn nicht spätestens bis 30. November des laufenden Jahres eine Kündigung bei LexisNexis einlangt. Der Widerruf hat schriftlich zu erfolgen und entfaltet seine Wirksamkeit nicht auf bereits vom Kunden erhaltene Lieferungen. Verlagsrechte: Die in dieser Zeitschrift veröffentlichten Beiträge sind urheberrechtlich geschützt. Alle Rechte bleiben vorbehalten. Kein Teil dieser Zeitschrift darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – durch Fotokopie, Mikroﬁlm, Aufnahme in eine Datenbank oder auf Datenträger oder auf andere Verfahren – reproduziert oder in eine von Maschinen, insbesondere Datenverarbeitungsanlagen, verwendbare Sprache übertragen werden. Das gilt auch für die veröffentlichten Entscheidungen und deren Leitsätze, wenn und soweit sie vom Einsender oder von der Schriftleitung redigiert, erarbeitet oder bearbeitet wurden und daher Urheberrechtsschutz genießen. Fotokopien für den persönlichen und sonstigen eigenen Gebrauch dürfen nur von einzelnen Beiträgen oder Teilen daraus als Einzelkopie hergestellt werden. Für die Veröffentlichungen in unseren Zeitschriften gelten unsere AGB für Zeitschriftenautorinnen und -autoren (abrufbar unter https://www.lexisnexis.at/agb/agb-zeitschriftenautoren/). Bitte beachten Sie außerdem die Geltung unserer AGB für Kundinnen und Kunden (abrufbar unter https://www.lexisnexis.at/agb/) sowie unsere Datenschutzerklärung (abrufbar unter https://www.lexisnexis.at/datenschutzbestimmungen/). Trotz sorgfältigster Bearbeitung erfolgen alle Angaben ohne Gewähr. Eine Haftung des Verlages und der Autoren ist ausgeschlossen. Dies gilt auch für Inhalte, die exklusiv digital veröffentlicht werden.

Compliance_Praxis_03_2019_(2015)_v5.indd 2

8/26/2019 6:37:00 PM

Compliance Inhalt Praxis

Recht & Haftung 26

Das „digitale Vermummungsverbot“ im Compliance-Check Der als „digitales Vermummungsverbot“ bezeichnete Gesetzesentwurf ist hoch umstritten. Anlass genug für einen „Compliance-Check“ der geplanten Regelungen.

30 35

IDD – ein Jahr danach Versicherungsvertriebsrichtlinie IDD: Eine Bilanz über zurückgelegte Meilensteine und noch zu bewältigende Hürden, ein Jahr nach Inkrafttreten.

Strafrechtliche Risiken von Sponsoring durch Kapitalgesellschaften

Netzwerk News 42

Vergabe- und Beschaffungswesen sowie der Aktionsplan zur Nationalen Anti-Korruptionsstrategie standen im Fokus der Veranstaltung.

44 46 47

Quergelesen Neue Bücher zur Compliance-Praxis, kurz vorgestellt.

ÖCOV forciert Netzwerkaktivitäten mit afﬁnen Berufs- und Fachverbänden Aktuelle Kooperationen des ÖCOV mit verwandten Organisationen im In- und Ausland.

Sponsoring kann für Vertreter von Kapitalgesellschaften in manchen Fällen durchaus auch strafrechtliche Risiken bergen – Stichwort Untreue.

Internationales

Das war der 13. Österreichische Anti-Korruptions-Tag

Köpfe & Karriere Neue Compliance-Kräfte im D-A-CH-Raum.

Veranstaltungen

„Ehrlichkeit und Politik sind keine Gegensätze“ Theo Waigel über das ethische Rüstzeug künftiger Führungskräfte, die Rolle Europas in geopolitisch unruhigen Zeiten und seine Tätigkeit als Compliance Monitor bei Siemens.

Wann werden Compliance-Programme international anerkannt? In drei neuen Leitlinien legen US-Behörden offen, nach welchen Kriterien sie die Effektivität von Compliance-Programmen beurteilen.

Compliance_Praxis_03_2019_(2015)_v5.indd 3

8/26/2019 6:37:00 PM

„Tech for Trust“: Antikorruption im Spannungsfeld von Digitalisierung und Integrität Das jährliche „Global Anti-Corruption and Integrity Forum“ der OECD stand heuer unter dem Motto „Tech for Trust“. Die internationalen Experten debattierten Risiken und Chancen digitaler Technologien in Bezug auf (Anti-)Korruption, Datenschutz und Integrität. Ein Tagungsbericht.

Das Thema Digitalisierung war bereits im Brennpunkt der Compliance–PraxisAusgabe 1/2019 und wird aufgrund seiner Bedeutung und Auswirkungen sicher auch weiterhin auf der Agenda von Diskussionen und Veranstaltungen stehen. Unter dem Motto „Tech for Trust“ fand vom 20. bis 21. März 2019 in Paris das jährliche „Global Anti-Corruption and Integrity Forum“1 statt, eine Veranstaltung, die sich mit aktuellen Fragen zur Integritätsförderung und Korruptionsprävention befasst. Etwa 2.000 Vertreter aus dem öffentlichen Sektor, der Wirtschaft, der Zivilgesellschaft und von internationalen Organisationen nahmen an dieser Konferenz teil und verfolgten die Diskus-

DIE AUTORIN Mag. Dr. Martina Koger, MSc, ist im Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK) als Abteilungsleiterin für Präventionsarbeit, Edukation und Internationale Zusammenarbeit des BAK zuständig.

sionen der Experten zum Spannungsfeld der Verwendung von neuen Technologien durch Regierungen, Wirtschaft und Bürger sowie den damit einhergehenden Chancen und Risiken. Der folgende Tagungsbericht fasst die wichtigsten Aussagen der internationalen Experten zusammen.

Korruption, ein „multidimensionales Phänomen“ Korruption werde als zunehmend komplexes und multidimensionales Phänomen gesehen, betonte Gabriela Ramos, OECD Chief of Staff, was auch zu er-

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 4

schwerten Bedingungen in der Verfolgung und Vorbeugung von Korruption führe. Technologische Entwicklungen, künstliche Intelligenz, die Verwendung von Algorithmen, Blockchains und Auswertung großer Datenmengen haben zu einem Paradigmenwechsel in den Bemühungen um Integrität und Anti-Korruption geführt, da sie eine Vielfalt von Integritätsrisiken mit sich bringen. Die „digitale Revolution“ hat das Leben und die Gesellschaft verändert, sie hat den beruflichen und den privaten Bereich erfasst, denn Digitalisierung und Automatisierung spielen in nahezu allen Lebens-, Arbeits- und Wirtschaftsbereichen eine wichtige Rolle, auf die die Regierungen noch adäquate Antworten finden müssen. In intensiven Diskussionsrunden wurde unter anderem die Frage gestellt, wie mit diesen technologischen Entwicklungen und der Forcierung von Künstlicher Intelligenz umgegangen werden soll, wie sie die Korruptionsprävention und -bekämpfung unterstützen und integres Handeln gewährleisten kann.

sie es etwa, Verhaltensweisen zu erkennen und vorherzusagen, was für die Kriminalitäts- und Korruptionsbekämpfung von großer Bedeutung ist. Andererseits gibt es auch Schattenseiten, die sich durch die Umgehung von Datenschutz und Urheberrechten sowie durch fehlende bzw unterschiedliche Rechtssysteme ergeben. Diese wirken sich nicht nur auf das tägliche Leben, die Gesellschaft, Wertesysteme und das Konsumverhalten aus, sondern können eine bewusste Manipulation der Öffentlichkeit und demokratieschädigende Auswirkungen zur Folge haben. Immer größere Datenbanken in den Händen weniger, globaler Konzerne haben zu Monopolstellungen geführt und führen bei Datenlecks zu enormen Schäden für die einzelnen Nutzer. Auch das „Repurposing“ von Daten, welche zu einem späteren Zeitpunkt für andere Zwecke genutzt werden, wirkt sich zum Nachteil der Nutzer aus.

Die zwei Seiten digitaler Technologien

Es wurde in den Diskussionen bedauernd festgestellt, dass ethische Grundsätze („Data Ethics“) fehlen würden und integres Handeln nicht im Fokus der wenigen, marktbeherrschenden Unternehmen steht, denn der einzige „Wert“ sei der wirtschaftliche und finanzielle Erfolg als „Shareholder Value“. Die digitalen Fortschritte eröffnen nahezu grenzenlose Möglichkeiten, sodass die Fragen wofür die Technologien eigentlich gedacht sind und was sie bezwecken sollen, in den Hintergrund treten. Wie das erste Kranzbergsche Gesetz sagt: „Technologie ist weder gut noch böse – und schon gar nicht neutral!“2

Neueste digitale Technologien haben zwei Seiten. Einerseits tragen sie in Form von digitalen Vergabesystemen, Transparenzdatenbanken, E-Government uvm zur Verhinderung und Bekämpfung von Korruption bei; sie ermöglichen den Bürgern schnellen Zugang zu Informationen, und digitale Verwaltungsprozesse garantieren korrekte, transparente, nachvollziehbare und unbestechliche Abläufe. Anhand definierter Algorithmen können Daten aber auch für analytische Zwecke verwendet werden. So ermöglichen

„Data Ethics“, ein Fremdwort?

www.compliance-praxis.at

8/26/2019 6:37:00 PM

Compliance Aktuelles Praxis

Chancen der Digitalisierung nutzen! Digitalisierung und technologische Entwicklungen wie Social Media oder die Weiterentwicklung Künstlicher Intelligenz haben schon jetzt mit enormer Geschwindigkeit Wirtschaft, Gesellschaft und die Beziehung der Menschen untereinander bzw zwischen Mensch und Maschine verändert. Da digitale Technologien in allen Lebensbereichen an Bedeutung gewinnen, sehen die Experten die dringende Notwendigkeit, rechtliche Rahmenbedingungen zu definieren, um mit den technologischen Möglichkeiten Schritt zu halten. Als bestimmende Akteure sind Politik, Medien und Zivilgesellschaften weltweit gefordert, gemeinsam die drängenden Probleme zu identifizieren, Lösungen zu entwickeln

und die Integrität in der Nutzung von Daten zu sichern. In der Konferenz kamen die internationalen Experten überein, dass Digitalisierung und neue Technologien große Chancen für die Prävention und Bekämpfung von Korruption bieten und diese genutzt werden müssen. In den Panels wurde über erfolgreiche Beispiele, wie Internetplattformen zur Förderung von transparenten Entscheidungsprozessen, internetbasierte Beschwerdestellen oder auch Tools zur elektronischen Vergabe, berichtet. In Österreich nutzt das Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK) bereits die Möglichkeiten der digitalen Entwicklung in Form von E-Learning zur Wertevermittlung; mit der App „Correct or Corrupt“ werden junge Menschen für die Gefahren der Korruption sensibilisiert.

Dieser „digitale“ Weg soll auch weiterhin zur Prävention von Korruption und Förderung von Integrität forciert und ausgebaut werden. In seinen abschließenden Worten fasste OECD-Generalsekretär Ángel Gurría die Erkenntnisse der Veranstaltung zusammen und betonte „We have a historic opportunity to make a difference: to use digital technologies to combat corruption more effectively. Governments must lead the way, turning digital technologies into tools for inclusion, integrity & widespread opportunities“.3

1) 2) 3)

https://www.oecd.org/corruption/integrityforum/ [8. 7. 2019] Melvin Kranzberg 1986, https://de.wikipedia.org/ wiki/Melvin_Kranzberg [8. 7. 2019] https://www.oecd.org/corruption/integrityforum/Highlights-2019-WEB.pdf [8. 7. 2019]

Geldwäsche-Compliance Zertifizierung ISO 37001 Bestätigen Sie Ihre Kompetenz als Expertin/Experte für die effektive Bekämpfung von Geldwäsche und Terrorismusfinanzierung mit einer unabhängigen Zertifizierung von Austrian Standards. Ihre Vorteile: Sie erfüllen alle Anforderungen gem. Finanzmarkt-Geldwäschegesetz 2018. Die Zertifizierung ist ein Nachweis umfassender Kenntnisse im Bereich der Geldwäsche-Compliance.

Info-Veranstaltung: 25. September 2019, 11:00 - 13.00 Uhr Austrian Standards, 1020 Wien Agenda: Fachvortrag: „Public Private Partnership (PPP)“ von Dieter Petracs, Senior Specialist Serious Crime Department, Forgery of Money Unit Europol (FIU) Vorstellung der neuen Geldwäsche-Compliance Zertiﬁzierung Die Teilnahme ist kostenlos.

Informieren Sie sich jetzt: www.austrian-standards.at/personenzertiﬁzierung

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 5

3/2019

8/26/2019 6:37:00 PM

Verantwortungsvoller Einsatz von Künstlicher Intelligenz als Compliance-Aufgabe? Die Warnung der Wettbewerbsbehörden vor Preisabsprachen mittels Künstlicher Intelligenz (KI) ist ein gutes Beispiel dafür, dass Compliance künftig verstärkt mit der Frage nach der Verantwortung der Designer und Betreiber für das ordnungsgemäße Funktionieren von KI-Anwendungen im geschäftlichen Alltag konfrontiert werden wird. Eine frühzeitige Auseinandersetzung mit den entsprechenden Rahmenwerken erleichtert den Einstieg in diese spezielle Form der Technical Compliance.

Der Einsatz von Künstlicher Intelligenz (KI) spielt mit voranschreitender Digitalisierung in sämtlichen Bereichen unseres gesellschaftlichen Lebens und Wirtschaftens eine immer wichtigere Rolle. Ein verantwortungsvoller und transparenter Umgang mit Daten und Algorithmen ist eine wichtige Voraussetzung, um das nötige Vertrauen in KI-Anwendungen zu fördern. Die Europäische Kommission, die OECD und der Berufsverband IEEE (Institute of Electrical and Electronics Engineers) haben jüngst Leitlinien zur Förderung eines vertrauenswürdigen Designs von KI-Anwendungen verabschiedet, die im

DER AUTOR Mag. Rudolf Schwab, MBA, ist Certiﬁed Compliance Professional und bei der A1 Telekom Austria Group in den Bereichen Compliance Prävention und Kapitalmarkt Compliance tätig.

Folgenden kurz vorgestellt werden sollen. Auch wenn es nicht Aufgabe des Compliance-Officers sein wird, ein wertebasiertes Design von KI-Anwendungen umzusetzen, so sollte er doch die Grundprinzipien kennen, um sein Unternehmen bei der Implementierung entsprechendender interner Richtlinien unterstützen zu können und als Sparringpartner für die „ethische Dimension von KI“ zur Verfügung zu stehen.

Leitlinien der EU-Kommission für vertrauenswürdige Künstliche Intelligenz Die Ethik-Leitlinien der hochrangigen Expertengruppe der EU-Kommission für

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 6

eine vertrauenswürdige Künstliche Intelligenz enthalten sieben Anforderungen, die Vertrauen in Künstliche Intelligenz schaffen sollen. Sie betreffen die Fragen nach der Kontrolle, der Sicherheit, dem Datenschutz, der Nichtdiskriminierung, der Nachhaltigkeit, der Verantwortlichkeit und der Transparenz der Algorithmen. Konkret geht es um  den Vorrang menschlichen Handelns und menschlicher Aufsicht: KI-Systeme sollten gerechten Gesellschaften dienen, indem sie das menschliche Handeln und die Wahrung der Grundrechte unterstützen‚ keinesfalls aber sollten sie die Autonomie der Menschen verringern, beschränken oder fehlleiten;  die Robustheit und Sicherheit: Eine vertrauenswürdige KI setzt Algorithmen voraus, die sicher, verlässlich und robust genug sind, um Fehler oder Unstimmigkeiten in allen Phasen des Lebenszyklus des KI-Systems zu bewältigen;  die Privatsphäre und das Datenqualitätsmanagement: Die Bürger sollten die volle Kontrolle über ihre eigenen Daten behalten und die sie betreffenden Daten sollten nicht dazu verwendet werden, sie zu schädigen oder zu diskriminieren;  Transparenz: Die Rückverfolgbarkeit der KI-Systeme muss sichergestellt werden;  Vielfalt, Nichtdiskriminierung und Fairness: KI-Systeme sollten dem gesamten Spektrum menschlicher Fähigkeiten, Fertigkeiten und Anforderungen Rechnung tragen und die Barrierefreiheit gewährleisten;  ein gesellschaftliches und ökologisches Wohlergehen: KI-Systeme soll-

ten eingesetzt werden, um einen positiven sozialen Wandel sowie die Nachhaltigkeit und ökologische Verantwortlichkeit zu fördern;  eine Rechenschaftspflicht: Es sollten Mechanismen geschaffen werden, die die Verantwortlichkeit und Rechenschaftspflicht für KI-Systeme und deren Ergebnisse gewährleisten. Der Handlungsrahmen der EU-Kommission für KI zeichnet sich durch drei Komponenten aus, die während des gesamten Lebenszyklus des KI-Systems erfüllt sein sollten:  KI sollte rechtmäßig sein und somit alle anwendbaren Gesetze und Bestimmungen einhalten;  KI sollte ethisch sein und somit die Einhaltung ethischer Grundsätze und Werte garantieren;  KI sollte robust sein, und zwar sowohl in technischer als auch sozialer Hinsicht, da KI-Systeme selbst bei guten Absichten unbeabsichtigten Schaden anrichten können. Die Europäische Kommission startet im Sommer 2019 im Rahmen der European AI Alliance1 eine Pilotphase, um breites Feedback zu den Ethik-Leitlinien für eine vertrauenswürdige Künstliche Intelligenz einzuholen. Nähere Informationen finden sich auf der Internetseite der Europäischen Kommission2, wo auch die Leitlinie abgerufen werden kann.

OECD-Prinzipien für Künstliche Intelligenz Die heuer auf dem G20-Gipfel in Japan vorgestellten OECD-Prinzipien für Künst-

www.compliance-praxis.at

8/26/2019 6:37:01 PM

Compliance Aktuelles Praxis

liche Intelligenz umfassen fünf wertebasierte Grundsätze für den verantwortungsvollen Einsatz vertrauenswürdiger KI:  KI sollte den Menschen und dem Planeten zugute kommen, indem sie integratives Wachstum, nachhaltige Entwicklung und Wohlstand fördert.  Die KI-Systeme sollten so konzipiert sein, dass sie die Rechtsstaatlichkeit, die Menschenrechte, die demokratischen Werte und die Vielfalt respektieren.  Es sollte Transparenz und verantwortungsvolle Offenlegung rund um die KI-Systeme geben, um sicherzustellen, dass die Menschen verstehen, wann KI sich mit ihnen beschäftigt und welche Ergebnisse KI-Systeme erzielen können.  KI-Systeme müssen während ihrer gesamten Lebensdauer robust sein und sicher funktionieren. Potenzielle Risiken sollten kontinuierlich bewertet und verwaltet werden.  Organisationen und Einzelpersonen, die KI-Systeme entwickeln, einsetzen oder betreiben, sollten für ihr ordnungsgemäßes Funktionieren im Einklang mit den oben genannten Grundsätzen verantwortlich gemacht werden. Dazu empfiehlt die OECD den Regierungen:  Erleichterung öffentlicher und privater Investitionen in Forschung und Entwicklung, zur Förderung von Innovationen im Bereich einer vertrauenswürdigen KI.  Förderung zugänglicher KI-Ökosysteme mit digitaler Infrastruktur und Technologien sowie Mechanismen für den Austausch von Daten und Wissen.  Schaffung einer Richtlinienumgebung, die den Weg für die Bereitstellung vertrauenswürdiger KI-Systeme ebnet.  Generelle Förderung des Kompetenzaufbaus für KI in der Gesellschaft, um einen fairen Übergang zu gewährleisten.  Grenzüberschreitende und sektorübergreifende Zusammenarbeit, um Informationen auszutauschen und Normen zu entwickeln. Die OECD-Prinzipien für Künstliche Intelligenz sind auf der Website der OECD3 abrufbar.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 7

IEEE-Standards für ein ethisch ausgerichtetes Design von KI-Systemen  Das Institute of Electrical and Electronics Engineers versteht sich selbst als eine führende konsensbildende Organisation, die globale Technologien zum Wohle der Menschheit fördert, entwickelt und weiterentwickelt. Mit der Ausarbeitung von Standards für ein ethisch ausgerichtetes Design von KI-Systemen verfolgt die IEEE das Ziel, angewandte Ethikfragen oder sogenannte wertegetriebene Entwurfsmethoden zu Beginn eines jeden Herstellungsprozesses von KI-Systemen zu priorisieren. Damit rücken Endverbraucherwerte in den Fokus der Design-Phase von KI-Systemen, die über eine reine Bewertung von Risiken oder Schäden hinausgehen und sicherstellen sollen, dass KI-Technologien den menschlichen Werten dienen. Im Folgenden werden die verschiedenen IEEE-Standards im Zusammenhang mit KI kurz vorgestellt:  Grundlegend ist der IEEE-Standard P7000, der einen Prozess beschreibt, mit dessen Hilfe ethische Erwägungen von Anfang an ins Systemdesign einfließen.  P7001 befasst sich mit der Transparenz autonomer Systeme.  P7002 beschäftigt sich mit Systemen und Software, die persönliche Daten sammeln und auswerten.  P7003 beschreibt, wie man verhindert, dass sich die – positiven oder negativen

 



1) 2) 3) 4)

– Vorurteile von Programmierern oder Auftraggebern in angeblich neutralen Algorithmen wiederfinden. P7004 entwickelt Richtlinien dafür, wie Bildungsinstitutionen mit den Daten von Schülern und Studenten umgehen sollen. P7005 tut dasselbe für Unternehmen bzw Mitarbeiterdaten. P7006 befasst sich damit, wie Verwaltung und Unternehmen ethische Werte bei der Gestaltung autonom entscheidender Algorithmen berücksichtigen können. P7007 beschreibt ontologische Standards für ethisch betriebene Roboter und Automatisierungssysteme. P7008 beschäftigt sich mit dem resilienten Design autonomer und halbautonomer Systeme. P7009 befasst sich mit ethischem „Nudging“4 für Roboter, intelligente und autonome Systeme. P7010 ist der Schaffung von „Tokku“-Gebieten gewidmet – das sind Gebiete, in denen autonome intelligente Systeme praktisch im echten Leben erprobt werden. Vgl https://ec.europa.eu/digital-single-market/ en/european-ai-alliance (zuletzt abgerufen am 8. 8. 2019). Unter https://ec.europa.eu/digital-single-market/ en/news/ethics-guidelines-trustworthy-ai (zuletzt abgerufen am 8. 8. 2019). https://www.oecd.org/berlin/presse/Flyer_AIPrinciples_FINAL_GER.pdf (zuletzt abgerufen am 8. 8. 2019). Nudging (Synonym für anregen, lenken, formen) ist eine verhaltensökonomische Methode, bei der versucht wird, das Verhalten zu beeinﬂussen, ohne auf Verbote, Gebote oder ökonomische Anreize zurückzugreifen.

3/2019

8/26/2019 6:37:01 PM

IIASA-Studie erklärt, warum sich Korruption so schwer ausrotten lässt Forscher des Internationalen Instituts für angewandte Systemanalyse (IIASA) haben mit Hilfe der Spieltheorie zu erklären versucht, warum sich Korruption trotz Gegenmaßnahmen so schwierig nachhaltig beseitigen lässt. Ihre Analyse zeigt, dass Antikorruptionsmaßnahmen auch dann aufrechterhalten werden müssen, wenn das Ausmaß an Korruption gering zu sein scheint.

Korruption betrifft uns alle. Sie behindert eine gerechte Entwicklung, destabilisiert Gesellschaften und untergräbt die Institutionen und Werte der Demokratie. Sie wird von vielen als eines der größten Probleme der Welt betrachtet. Laut einer Gallup-Umfrage bewertet eine Mehrheit der Menschen weltweit die Auswirkungen von Korruption sogar negativer als globale Probleme wie Klimawandel, Armut und Terrorismus. Korruption tritt in verschiedenen Formen auf, darunter Vetternwirtschaft, Klientelismus und Veruntreuung öffentlicher Gelder. In ihrer in den „Proceedings of the National Academy of Sciences of the United States of America“ (PNAS) veröffentlichten Studie1 konzentrierten sich die Forscher des IIASA, der Universität Wien und zweier japanischer Universitäten speziell auf eine Form der Korruption, nämlich Bestechung in öffentlichen Einrichtungen.

Bestechung in öffentlichen Institutionen Sie verwendeten eine weit gefasste Definition für „öffentliche Institutionen“, unter die auch Sportverbände, Medien oder Nichtregierungsorganisationen (NGOs) fielen, deren Funktionsträger Macht auf Grundlage von sozialem Vertrauen ausüben. Das Team analysierte ein Basismodell der Bestechung mit Hilfe der evolutionären Spieltheorie – ein Erklärungsmodell, das ursprünglich zur Beschreibung biologischer Evolution entwickelt wurde und zunehmend zur Analyse sozialer Evolution verwendet wird. Unter Anwendung dieser Perspektive, so die Forscher, kann man postulieren, dass sozioökonomische Akteure von Eigeninteressen geleitet werden. Ziel der Wissenschaftler war es, ein basales Modell zu

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 8

entwickeln, um Schlüsseldynamiken erfassen zu können, die für viele unterschiedliche Systeme relevant sind. Insbesondere wollten sie zeigen, dass die Anpassung einzelner Akteure an eine vorherrschende soziale Situation zu nachhaltigen oder gedämpften Zyklen führt, die das Wachsen und Abflauen der institutionellen Korruption analog zum Abflauen und Wachsen der Zusammenarbeit innerhalb der Gesellschaft widerspiegeln.

Zyklen der Korruption Die These kann durch das folgende Beispiel veranschaulicht werden: Öffentliche Institutionen sollen in der Regel als Hüter der Gemeinschaft fungieren. Diese Institutionen werden jedoch von Menschen geleitet, die nicht immer frei von egoistischen Motiven sind, was bedeutet, dass Gemeinschaften, die sich auf den Schutz dieser Institutionen verlassen, die Institutionen ihrerseits in die Verantwortung nehmen müssen – mit anderen Worten, sie müssen die Wächter „bewachen“. Die Einführung von Antikorruptionsmaßnahmen zur Umsetzung dieser Wachsamkeit ist in der Regel eine aufwändige und kostspielige Angelegenheit. Wird die Durchführung wirksamer Maßnahmen vernachlässigt, kann sich Korruption ausbreiten, was zu einem Vertrauensverlust und einer Aufkündigung der Zusammenarbeit mit der Institution führt. Eine solche Krise kann die Beteiligten veranlassen, ihre Bemühungen zur Überwachung der Institution zu verstärken und sich erst dann wieder für sie zu engagieren, wenn sie darauf vertrauen können, dass sie ein ausreichendes Level an Vertrauenswürdigkeit erreicht hat – sodass die Korruption wieder eingedämmt und der wirtschaftliche Erfolg gestärkt wird.

Sobald Zusammenarbeit und Ehrlichkeit innerhalb der Organisation aber wieder alltäglich geworden sind, werden die Bemühungen zur Überwachung der Integrität weniger kritisch gesehen und daher wieder vernachlässigt, was einen weiteren Zyklus in Gang setzt.

Sabotiert erfolgreiche Antikorruption sich selbst? Nach Ansicht der Forscher kommt es zu diesem Feedback-Zyklus, weil erfolgreiche Antikorruptionsmaßnahmen Bedingungen schaffen, unter denen eine Senkung ihrer Kosten vernünftigerweise gerechtfertigt erscheint. Das heißt, erfolgreiche Antikorruptionsmaßnahmen untergraben letztlich selbst ihren eigenen Erfolg. „Antikorruptionsmaßnahmen leiden unter einer inhärenten Instabilität, die erkannt und behoben werden muss, damit Maßnahmen langfristig erfolgreich sein können. Transparenz über die Integrität von Institutionen ist der Schlüssel zur Korruptionsbekämpfung, und intensive Wachsamkeit gegen Korruption muss auch bei scheinbar geringer Korruption aufrechterhalten werden“, erklärt IIASAForscher Ulf Dieckmann, einer der Studienautoren. Das Team hofft, dass die vorliegende Analyse hilfreich für die Konzeption nachhaltiger Antikorruptionsmaßnahmen sein kann und als Grundlage für zukünftige spieltheoretische Untersuchungen zu diesem Thema dient. Autor: Mag. Klaus Putzer

Lee J-H, Iwasa Y, Dieckmann U & Sigmund K (2019). Social evolution leads to persistent corruption. Proceedings of the National Academy of Sciences of the United States of America [pure.iiasa. ac.at/15945].

www.compliance-praxis.at

8/26/2019 6:37:04 PM

DIE ENERGIE, DIE JEDEN TAG DAS KREDITRISIKOMANAGEMENT VON ÜBER 55.000 UNTERNEHMEN WELTWEIT OPTIMIERT.

Bei CRIF stehen Ihnen als Unternehmen 4.400 Experten zur Seite, um Ihrem Kreditrisikomanagement mehr Energie zu verleihen. Einfrieren von Problemfeldern: Gemeinsam identiﬁzieren wir Potenziale und ﬁnden Maßnahmen zur Risikovermeidung. Kondensieren von Daten: Mit Know-How und analytischen Fähigkeiten verwandeln wir Daten in Lösungen. Verschmelzen von Lösungen: Wir entwickeln individuelle Lösungen und antizipieren Marktbedürfnisse für Ihren Zusatznutzen. Verdunsten von Kosten und Aufwand: Dank der marktführenden Datenlage können wir Ihre Zahlungsausfälle auf ein Minimum reduzieren, Betrugsmuster frühzeitig erkennen und Ihre Conversion Rate steigern. CRIF verwandelt Informationen in jeden Aggregatzustand – tagesaktuell und in jedem Umfang! In jeder Phase des Kreditlebenszyklus.

Ihre Experten für Bonitätsprüfung, Identiﬁkation, Betrugsprävention, KYC & AML, Softwarelösungen und globale Unternehmensauskünfte. www.crif.at | info.at@crif.com

Compliance_Praxis_03_2019_(2015)_v5.indd 9

8/26/2019 6:37:05 PM

Im Brennpunkt: Cybercrime

Risikomanagement in einer digitalen Welt mit „Cyber Threat Intelligence“ Unternehmen sind heute in allen Geschäftsprozessen stark von Digitalisierung und IT-Systemen geprägt. Maßnahmen zur Identifikation und Behandlung neuartiger Cyberbedrohungen sind daher unerlässlich. Klassische Prüfansätze wie Audits, Schwerpunktprüfungen oder Wirtschaftsprüfung sollten um Fähigkeiten zur Erkennung von Cyberrisiken ergänzt werden. Der Artikel beschreibt das dafür geeignete Konzept „Risikoidentifikation und -beschreibung mit Cyber Threat Intelligence“.

Von Philipp Mattes-Draxler | Marcell Nedelko

Cyber Threat Intelligence (CTI) – Versuch einer Definition Der Begriff „Cyber“ steht im gegenständlichen Fall für die Beschreibung des Phänomens, dass unsere wirtschaftlichen, sozialen und politischen (Interaktions-)Prozesse durch komplexe und hochvolatile Informationsinfrastruktur unterstützt bzw teilweise sogar gestaltet werden. In Anlehnung an den Grundschutzkatalog des deutschen Bundesamts für Sicherheit in der Informationstechnik wird unter einer „Bedrohung“ ganz allgemein ein Umstand verstanden, durch den ein Schaden entstehen kann.1 Im Sinne der Informationstechnik ist eine Bedrohung daher ein Umstand, der die Verfügbarkeit, Vertraulichkeit oder Integrität von Informationen beeinträchtigen und somit dem Besitzer bzw Benutzer der Informationen ein Schaden entstehen kann. Der strukturierte Prozess zur Erstellung von relevanter, verwertbarer und nützlicher Information für einen Empfänger kann allgemein als „Intelligence“ bezeichnet werden. Eine Definition von CTI muss daher diesen Punkt aufnehmen. Eine diesem Anspruch gerecht werdende Festlegung des Begriffs CTI stammt vom IT-Marktforschungsunternehmen Gartner, das CTI folgendermaßen definiert: „Evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard“.2

Mit der zunehmenden digitalen Verflechtung von Geschäftsprozessen und sozialen Interaktionen begegnen Unternehmen und Organisationen heute nicht nur einer Vielzahl von Risiken, sondern bestehende Schwachstellen bleiben sogar unbeachtet. Vielfältige Geschäftsfelder, die von verschiedenen Branchen abgedeckt werden, verbunden mit dem Bestreben, innovative Lösungen für ihre Kunden in der digitalen Welt anzubieten, bieten nun eine größere Angriffsfläche. Die Heterogenität und Geschwindigkeit in der digitalen Welt machen die Vorhersehbarkeit von Risiken zunehmend schwieriger. Prognosen sind jedoch wichtig, um Maßnahmen zur Eindämmung von Risiken oder zur Abschwächung des Schadenspotenzials setzen zu

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 10

können. Daher haben sich ua ComplianceProgramme, Risikomanagement und das „Three Lines of Defence“-Modell zur strukturierten und systematischen Behandlung von Risiken als erfolgsversprechende und effektive Methoden etabliert. Audits, Schwerpunktprüfungen, Wirtschaftsprüfung etc verfolgen in diesem Kontext alle dasselbe Ziel, sie versuchen Abweichungen von der (Norm-)Konformität zu erkennen und somit einen nachhaltigen Geschäftsbetrieb zu ermöglichen. Während die Prozesse zur Identifikation von Missständen gut entwickelt und etabliert sind, fehlt es oftmals an der Fähigkeit, neuartige Risiken, die vielfach noch gar nicht wahrgenommen werden, frühzeitig zu erkennen und darzustellen.

Risikomanagement ist ohne die Fähigkeit, Risiken überhaupt zu erkennen und zu beschreiben, nicht möglich. Auch Audits und Schwerpunktprüfungen können nur prüfen, was bekannt ist und als relevantes Prüfobjekt definiert wurde. In der Folge wird dargestellt, wie dieser Herausforderung in vielen Bereichen mit Cyber Threat Intelligence (CTI) begegnet werden kann. CTI kann helfen, Risiken aus dem digitalen Geschäftsleben strukturiert zu identifizieren und zu beschreiben und somit Grundlagen für effektive Prüfmaßnahmen schaffen. Am Beispiel von Cyberbedrohungen wird dargestellt, wie CTI Prüfprozesse unterstützen und Orientierung im Setzen von richtigen Maßnahmen geben kann.

Trends: Cyberangriffe nehmen zu, staatliche Akteure mischen mit Wenn man das Jahr 2018 genauer analysiert, so war es im Cyberraum von überraschender Dreistigkeit geprägt. Nationalstaaten und Geheimdienste wurden nicht nur zunehmend unverfrorener bei ihren Angriffen auf Informationsinfrastrukuren auf der ganzen Welt, sondern Regierungen riefen auch andere Regierungen zu gemeinsamen Cyberaktivitäten auf. Wir konnten im Verlauf des vergangenen Jahres beobachten, dass Cybersicherheit sowohl im privaten als auch im öffentlichen Sektor immer mehr an Brisanz gewonnen hat. Gleichzeitig war weltweit eine rasante Zunahme der Investitionen in

www.compliance-praxis.at

8/26/2019 6:37:05 PM

Compliance Management & Praxis Organisation

CybersicherheitsmaĂ&#x;nahmen zu beobachten. Das PwC Cyber Threat Intelligence Excellence Centre konnte Trends bei Cyberbeddrohungen aus dem Jahr 2017 auch 2018 wieder beobachten: So blieb auch 2018 das Bedrohungspotenzial von Wahlmanipulationen durch gezielte Informations-Operationen unverĂ¤ndert hoch. Immer mehr an Bedeutung gewinnt das Risiko von Supply Chain Attacks. Hier wird gezielt das schwĂ¤chste Glied in der (Liefer-)Kette angegriffen, um Ăźber die Vertrauensstellung des Dienstleisters auch gut abgesicherte Unternehmen und Organisationen angreifen zu kĂśnnen. Traditionelle Techniken wie zB PhishingE-Mails blieben auch 2018 die erste Wahl als Infiltrationsmethode, die sowohl von finanziell motivierten Cyberkriminellen als auch von Cyberspionage-Akteuren genutzt wurden. Deutlich spĂźrbarer werden die finanziell motivierten Angriffe durch die EinfĂźhrung von Techniken wie Online Card Skimming3 und weiterer hĂśher entwickelter Cyberware. Dazu werden auch altbekannte Botnetze und Banken-Trojaner wiederverwendet. Das PwC Cyber Threat Intelligence Excellence Centre ist ein Expertenpool von internationalen Malware-Analysten, die unsere Incident-Response-Fieldteams bei der Abwehr von Cyberangriffen unterstĂźtzen. AuĂ&#x;erdem analysieren sie zielgerichtete Angriffe auf Unternehmen (Advanced-Persistant-Threats) und verĂśffentlichen diese Beobachtungen sowie Analysen Ăźber neue Bedrohungsvektoren und -akteure regelmĂ¤Ă&#x;ig.

Aber auch das Auftreten neuer Bedrohungen konnte beobachtet werden, die das Erkennen deutlich erschweren, zB wenn legitime Tools oder Prozesse ausgenutzt werden. Obwohl Cybersecurity in den KĂśpfen der EntscheidungstrĂ¤ger immer prĂ¤senter ist, steigt der Umfang und die HĂ¤ufigkeit der verĂśffentlichten bzw bekanntgewordenen Data Breaches Jahr fĂźr Jahr erschreckend an. Viele Organisationen und Unternehmen reagieren auf die VielfĂ¤ltigkeit der Cyberbedrohungen orientierungslos. Erschwerend kommt hinzu, dass die Auswirkungen einer Cyberattacke einen enormen Ein-

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 11

fluss auf die Ăśffentliche Wahrnehmung und auf die wirtschaftliche Leistung von Unternehmen haben. Das ResĂźmee aus den Beobachtungen fĂźr das Jahr 2018 ist ernĂźchternd: Cyberangriffe nehmen weiterhin deutlich zu. In der Bedrohungsbetrachtung ist auch die klassische Trennung der verschiedenen Angreifer Ăźberholt. Durch die starke AbhĂ¤nigigkeit von Informationsinfrastrukturen kĂśnnen sowohl technisch sehr ausgereifte Angriffe von staatlichen Akteuren, wie auch Angriffe von opportunistischeren Akteuren, die lediglich ungepatchte Systeme attackieren, weitreichende und verheerende Auswirkungen haben. Es verwundert daher nicht, dass Cyberangriffe die Aufmerksamkeit von Mainstream-Medien immer mehr auf sich ziehen. Sie dominieren Schlagzeilen und unterstreichen die Notwendigkeit eines besseren, breiteren VerstĂ¤ndnisses dieser realen Gefahren und noch viel mehr die Notwendigkeit, effektive, proaktive VerteidigungsmaĂ&#x;nahmen zu implementieren. Neben allen negativen Entwicklungen ist aber auch festzustellen, dass sich die ExekutivbehĂśrden besser auf die neuen Bedrohungen einstellen und durch internationale Zusammenarbeit immer wieder DurchbrĂźche in der Verfolgung von Cyberkriminellen gelingen. Wir beobachten, dass sich diese Trends in diesem Jahr fortsetzen. Hoch entwickelte Akteure setzen hochgradig spezialisierte und ausgereifte Techniken ein und verwenden dabei auch vermehrt

Zero Days4, um unentdeckt angreifen zu kĂśnnen. Ungebrochen fĂźhren PhishingE-Mails die Liste der â&#x20AC;&#x17E;beliebtestenâ&#x20AC;&#x153; Eindring- bzw Infiltrationsmethoden an. Supply Chain Attacks nutzen weiter das Vertrauen zwischen Kunden und Lieferanten aus. Aber die gemeinsamen Anstrengungen von Geheimdiensten, Polizei-Organisationen, dem privaten Sektor und die Zunahme des Austausches von Cyber Threat Intelligence fĂźhrt auch zu weiteren Anklagen und Takedowns von Cybercrime-Operationen. Zudem wirkt CTI zunehmend mit anderen Disziplinen zusammen und bringt so ein deutlich holistischeres Bild (Cyber Threat Landscape) hervor.

Risikomanagement durch Einbeziehen von Cyber Threat Intelligence in konkrete PrĂźfaufgaben Um die dargestellten Bedrohungen richtig adressieren zu kĂśnnen, empfehlen wir, die bewĂ¤hrten PrĂźfungshandlungen auf CTI-Erkenntnisse anzupassen und gegebenenfalls zu erweitern. Denn CTI liefert eine Cyber Threat Landscape, aus welcher konkrete Bedrohungen abgeleitet und Cyberrisiken in der digitalen Welt systematisch erkannt werden kĂśnnen. ZusĂ¤tzlich stellt CTI die mĂśglichen bzw erwartbaren Ziele von Akteuren dar, die erforderlich sind, um sich in einer vielfĂ¤ltigen Bedrohungslandschaft auf relevante Bedrohungen fĂźr das eigene Unternehmen konzentrieren zu kĂśnnen. Daher sind aus CTIErgebnissen konkrete PrĂźfmaĂ&#x;nahmen abzuleiten.

3UÂ INDWDORJ $XV GHP &\EHU 7KUHDW /DQGVFDSH ZHUGHQ NRQNUHWH %HGURKXQJHQ DEJHOHLWHW DXV GHQHQ ZLHGHUXP HLQ 3UÂ INDWDORJ IHVWJHOHJW ZLUG PLW GHVVHQ +LOIH JHSUÂ IW ZLUG RE 0DÂ&#x2030;QDKPHQ JHJHQ GLH %HGURKXQJHQ LPSOHPHQWLHUW VLQG 3KLVKLQJ ( 0DLOV XQG 6XSSO\ &KDLQ $WWDFNV 8QJHEURFKHQ ZHUGHQ 3KLVKLQJ ( 0DLOV GLH /LVWH GHU Ă&#x201E;EHOLHEWHVWHQÂł ,QILOWUDWLRQVPHWKRGH DQIÂ KUHQ XQG 6XSSO\ &KDLQ $WWDFNV ZHUGHQ GDV 9HUWUDXHQ ]ZLVFKHQ .XQGHQ XQG /LHIHUDQWHQ DXVQXW]HQ :KROH 3UÂ INDWDORJ IIIIIIIIIIII OHDGHUVKLS

$XIUXI ]X &\EHUDNWLYLWlWHQ ULHIHQ 5HJLHUXQJHQ ]X &\EHUDNWLYLWlWHQ DXI XQG GLVNUHGLWLHUWHQ |IIHQWOLFK .ULPLQHOOH 6SLRQDJH XQG 6DERWDJHDNWHXUH 'LHV NDQQ VRZRKO SRVLWLYH ZLH DXFK QHJDWLYH (IIHNWH QDFK VLFK ]LHKHQ +RFK HQWZLFNHOWH 0HWKRGHQ LQNO =HUR 'D\V XQG $QVWLHJ &\EHUFULPH +RFK HQWZLFNHOWH $NWHXUH ZHUGHQ PHKU KRFKJUDGLJ VSH]LDOLVLHUWH XQG DXVJHUHLIWH 7HFKQLNHQ =HUR 'D\V LQNOXGLHUW IÂ U LKUH 2SHUDWLRQHQ HLQVHW]HQ 0DQLSXODWLRQ YRQ :DKOHQ GXUFK JH]LHOWH ,QIRUPDWLRQV 2SHUDWLRQV 'DV %HGURKXQJVSRWHQ]LDO GDVV :DKOHQ GXUFK ,QIRUPDWLRQV 2SHUDWLRQV PDQLSXOLHUW ZHUGHQ EOHLEW XQYHUlQGHUW KRFK ,QIRUPDWLRQV 2SHUDWLRQV ]XU SRVLWLYHQ RGHU QHJDWLYHQ 0HLQXQJVELOGXQJ N|QQHQ DEHU MHGHQ WUHIIHQ

Abbildung 1: CTI unterstĂźtzt die Erstellung des PrĂźfkatalogs. ÂŠ PwC Ă&#x2013;sterreich GmbH

3/2019

8/26/2019 6:37:05 PM

Beispiele zum Anpassen von Prüf- und Audittätigkeiten in Bezug auf aktuelle Bedrohungen Nachfolgend werden rund um die beobachteten Trends der Cyberbedrohungen Schlussfolgerungen für Prüfhandlungen getroffen und exemplarische Prüfungshandlungen aufgezählt. Die Liste der Prüfobjekte sollte aber je nach konkreter Bedrohungslage erweitert bzw reduziert, konkretisiert und spezifiziert werden. Das gilt auch für das Prüfprogramm. Möglicherweise existieren schon ausreichend Prüfungshandlungen und CTI wird lediglich als Indikator verwendet, um die Schwerpunkte im Prüfungszyklus anzupassen.

Phishing-E-Mails Die bei Angreifern beliebteste und immer noch erfolgversprechendste Angriffsmethode sind Phishing-E-Mails bzw deren zielgerichtete Variante „Spear-PhishingE-Mails“. Daher sollten Unternehmen bzw Organisationen für die Nutzung von E-Mails adäquate technische und organisatorische Maßnahmen implementieren, um dieser Bedrohung zu begegnen. Prüfungshandlungen können beinhalten:  ob technische Schutzmaßnahmen vorhanden sind,  wie mit Passwörtern umgegangen wird,  ob die Mitarbeiter regelmäßig durch geeignete Awareness-Trainings geschult werden,  ob Abläufe und Prozesse implementiert sind (und auch gelebt werden), die präventive und auch reaktive Maßnahmen bei Phishing-Vorfällen im Unternehmen vorschreiben etc. Unabhängig vom Umfang der Prüfobjekte ist in jedem Fall zu validieren, ob das Risiko einer Infektion mittels PhishingE-Mails nachhaltig behandelt wird oder nicht.

Supply Chain Attacks Etwas komplexer gestalten sich Prüfungen hinsichtlich Supply Chain Attacks. Nichtsdestotrotz sind gerade diese unerlässlich, da das Vertrauensverhältnis

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 12

zwischen Kunden und Lieferanten angegriffen wird, das aber von hoher wirtschaftlicher Bedeutung und für funktionierende Geschäftsprozesse relevant ist. Überprüfungen hinsichtlich Supply Chain Attacks beinhalten:  die Prüfung von Lieferanten-Listen und Dienstleister-Audits (Wer liefert was für wen? Wie oft? Wer sind die Ansprechpartner? In welchem Reifegrad hat der Dienstleister Sicherheitsmaßnahmen implementiert?),  das Einsehen von technischer bzw Prozess-Dokumentation (Wie wird mit Dienstleistern und Lieferanten kommuniziert? Wie werden Informationen ausgetauscht? Wie werden Rechnungen zugestellt? etc),  wie werden offene Forderungen plausibilisiert und Zahlungen freigegeben,  Prüfungshandlungen, ob die Kommunikation zu Lieferanten automatisiert gemonitored wird, um Abweichungen und Änderungen im Kommunikationsverhalten rasch identifizieren und eingreifen zu können. Komplexe Szenarien wie Supply Chain Attacks verlangen einen sich selbst verbessernden Prüfungsansatz, mit dem die Verbesserungen des Reifegrades berücksichtigt werden können. Entscheidend ist es, das Risikopotenzial von Angriffen über die Lieferkette und Dienstleister zu erkennen und Maßnahmen zur Vermeidung bzw Verhinderung solcher Angriffe zu setzen.

Aufruf zu Cyberaktivitäten Dieser seit 2018 beobachtbare Trend wird nicht unmittelbar als Bedrohung wahrgenommen. Allerdings sind die Auswirkungen solcher Aktivitäten nur schwer vorhersehbar und können sowohl zu einem Rückgang von Cyberbedrohungen oder zu einer deutlichen Zunahme führen, was auf Basis derzeitiger Erkenntnisse deutlich wahrscheinlicher zu sein scheint. Denn wenn sich staatliche, aber auch kriminelle, Akteure durch diese Aufrufe zu einer Intensivierung ihrer Aktivitäten ermutigt fühlen, kommt es zu einem Effekt ähnlich der historisch staatlich legitimierten Freibeuterei: Eine Vielzahl an

Akteuren richtet große (finanziell motivierte) Schäden an, kann dafür jedoch nicht strafrechtlich verfolgt werden. Es werden nicht nur staatliche Organisationen Ziel dieser Angriffe, sondern auch andere im angegriffenen Land vorhandenen Ziele. Daher ist diese Bedrohung beinahe für jeden relevant, aber besonders für internationale Unternehmen, die in geopolitisch riskanten oder konkurrierenden Ländern operieren. Die zu prüfenden Maßnahmen sind hauptsächlich Vorkehrungen im Bereich der klassischen Informations- und ITSicherheit sowie -Resilienz, aber natürlich auch im Bereich Risikomanagement angesiedelt. Es gilt jedenfalls, durch geeignete Maßnahmen festzustellen, ob Akteure aus erkannten Regionen als Bedrohung identifiziert werden und CybersecurityMaßnahmen bedrohungsorientiert gesetzt werden.

Hoch entwickelte Angriffe Die wohl größte Gefahr geht von hoch entwickelten Angriffen aus, die zumeist von staatlichen oder sehr professionellen Akteuren vorgenommen werden. Diese Akteure verfügen über große Ressourcen und entwickeln daher beeindruckende Angriffsfähigkeiten. Sie wählen ihre Ziele sehr sorgfältig aus und sind für weit weniger Unternehmen relevant als etwa die Bedrohung der Cyberkriminalität. Gerade deswegen ist eine genaue Analyse des Risikos erforderlich, um feststellen zu können, ob das eigene Unternehmen als Angriffsziel infrage kommt. Außerdem verbreiten sich, wenn auch zeitlich verzögert, Angriffstools weiter und so gelangen auch sehr hoch entwickelte Angriffsmethoden in die Hände von Akteuren mit geringen Ressourcen und Fähigkeiten. Prüfungen, die sich aus diesem Themenkomplex ableiten lassen, sind hauptsächlich auf die Bedrohungsbewertung und das Risikomanagement ausgerichtet. Zu prüfen sind etwa Maßnahmen zur Identifikation von Akteuren (deren Fähigkeiten und Ziele) und daraus abgeleitet die Festlegung der eigenen Bedrohungen, um IT-Sicherheitsmaßnahmen bestmöglich setzen zu können.

www.compliance-praxis.at

8/26/2019 6:37:05 PM

Compliance Management & Praxis Organisation

&\EHU 7KUHDW /DQGVFDSH

Â&#x2021; Â&#x2021; Â&#x2021;

hEHUVLFKW Â EHU %HGURKXQJHQ 'HU]HLWLJH XQG VLFK HQWZLFNHOQGH 7UHQGV %DVLHUW DXI 3Z& (UNHQQWQLVVHQ XQG RIIHQHQ 'DWHQ

'LJLWDO )RRWSULQWLQJ

Â&#x2021;

,QIRUPDWLRQHQ DXV GHP ,QWHUQHW Â EHU HLQH 3HUVRQ %HGURKXQJHQ GHU 5HSXWDWLRQ 0|JOLFKH $QJULIIVYHNWRUHQ

Â&#x2021;

7KUHDW 'DWD

Â&#x2021; Â&#x2021;

Â&#x2021;

6LQG (FKW]HLWGDWHQ ]X %HGURKXQJHQ %HVWHKHQ DXV ,QGLNDWRUHQ XQG 'HWHNWLRQHQ *HILOWHUW DXI HLJHQH %HGÂ UIQLVVH

7KUHDW $FWRUV

Â&#x2021; Â&#x2021; Â&#x2021;

)lKLJNHLWHQ GHV $NWHXUV =LHOH 0RWLYDWLRQ GHV $NWHXUV (PSIRKOHQH *HJHQPDÂ&#x2030;QDKPHQ

7RROV 7HFKQLTXHV DQG 3URFHGXUHV

Â&#x2021;

'HU]HLWLJ YRUNRPPHQGH 7RROV 0HWKRGHQ XQG 9HUIDKUHQVZHLVHQ (PSIRKOHQH *HJHQPDÂ&#x2030;QDKPHQ

&\EHU 3LFWXUH

Â&#x2021; Â&#x2021; Â&#x2021;

&\EHU /DJHELOG (UNHQQHQ YRQ =XVDPPHQKlQJHQ 'LHQW DOV (QWVFKHLGXQJV JUXQGODJH

Abbildung 2: Durch CTI kĂśnnen unterschiedliche Informationen mit unterschiedlichem Detailgrad als Erkenntnisse aufbereitet werden. ÂŠ PwC Ă&#x2013;sterreich GmbH

Informations-Operationen Die zielgerichtete Manipulation von Wahlen hat bereits mehrfach gezeigt, wie erfolgreich Informations-Operationen unter Einsatz von Cybermitteln sein kĂśnnen. Zwar lassen sich aus diesem Umstand nur in den seltensten FĂ¤llen konkrete Bedrohungen fĂźr Unternehmen ableiten, jedoch wird dadurch ein sehr ernstzunehmendes Potenzial von MĂśglichkeiten zur Beeinflussung von Meinungen verdeutlicht. Kampagnen gegen die Reputation eines Unternehmens sind aus politisch motivierten GrĂźnden denkbar, vor allem fĂźr Unternehmen, die stark auf digitales Marketing und dabei besonders auf Werbung in Sozialen Netzwerken setzen. In solchen Unternehmen sollte geprĂźft werden, ob geeignete Strategien und MaĂ&#x;nahmen fĂźr die Nutzung und das Verhalten in digitalen Medien vorhanden sind. DarĂźber hinaus sind gut strukturierte und vorbereitete GegenmaĂ&#x;nahmen notwendig, um im Falle einer negativen Informations-Operation gegen das eigene Unternehmen rasch und effektiv Schritte setzen zu kĂśnnen.

Cyber Threat Intelligence als Vorbereitung auf Cyberangriffe CTI liefert relevante, verwertbare und nĂźtzliche Informationen Ăźber mĂśgli-

che Bedrohungsakteure, deren FĂ¤higkeiten, Techniken und Motivationen. Durch entsprechende Analysen kann der Fokus auf jene Akteure gelegt werden, die das eigene Unternehmen angreifen bzw angreifen wollen. Daraus kĂśnnen wiederum MaĂ&#x;nahmen und Methoden abgeleitet werden, um die Bedrohungen zu erkennen und zu verhindern oder zumindest zu minimieren. Aus der kontinuierlichen Beobachtung der Cyberbedrohungen liefert CTI eine Cyber Threat Landscape, die aktuelle Bedrohungen darstellt und Trends bzw Entwicklungen frĂźhzeitig erkennt und somit das Setzen proaktiver MaĂ&#x;nahmen unterstĂźtzt und fĂśrdert. Dadurch wird dem Angreifer sein stĂ¤rkster Vorteil, nĂ¤mlich die Ă&#x153;berraschung, genommen. WĂ¤hrend Angreifer theoretisch unendlich viel Zeit zur Vorbereitung und Planung ihrer Angriffe haben und den Zeitpunkt ihres Vorgehens weitestgehend selbst festlegen, mĂźssen die angegriffenen Organisationen stĂ¤ndig mit dem Schlimmsten rechnen und reaktiv handeln. CTI mĂśchte also vor allem bei der proaktiven Vorbereitung zur Erkennung von Cyberangriffen und beim zielgerichteten Einsatz von IT-SicherheitsmaĂ&#x;nahmen unterstĂźtzen. Dabei

kĂśnnen auch Daten eingesetzt werden, mit deren Hilfe Angriffe zeitnah erkannt werden. Durch das Nutzen von CTI-Erkenntnissen sollen aber nicht nur die richtigen operativen MaĂ&#x;nahmen abgeleitet werden, sondern im Sinne einer kontinuierlichen Verbesserung auch die PrĂźfhandlungen so angepasst werden, dass die EffektivitĂ¤t der Vorbereitung auf Cyberangriffe gezielt hinterfragt und so letztlich wiederum verbessert wird.

2) 3)

Vgl Glossar der Cyber-Sicherheit des Bundesamts fĂźr Sicherheit in der Informationstechnik (2019): https://www.bsi.bund.de/DE/Themen/ Cyber-Sicherheit/Empfehlungen/cyberglossar/ Functions/glossar.html;jsessionid=216FDE6E3A D7DF986A2958CA3AAA9EFA.2_cid360?cms_ lv2=9817274, zuletzt abgerufen am 15. Juli 2019. Gartner (2013): https://www.gartner.com/en/documents/2487216/deďŹ nition-threat-intelligence, zuletzt abgerufen am 15. Juli 2019. Online Card Skimming beschreibt den Diebstahl von Zugangsdaten und sensiblen Zahlungsinformationen von Website-Besuchern. Hierbei wird bĂśsartiger Code auf Webseiten platziert, mit dem sensible Benutzereingaben abgegriffen werden und diese anschlieĂ&#x;end fĂźr unautorisierte EinkĂ¤ufe genutzt. Ein Zero Day Exploit nutzt eine IT SecurityLĂźcke am selben Tag aus, an dem diese bekannt wurde. Es liegen somit null Tage zwischen dem Entdecken der SicherheitslĂźcke und dem ersten Angriff und Patches zum SchlieĂ&#x;en dieser LĂźcke sind folglich noch nicht vorhanden.

Die Autoren

ÂŠ PwC

Mag. (FH) Philipp Mattes-Draxler, MSc (links im Bild) ist im Bereich Cybersecurity und Privacy bei PwC tĂ¤tig und unterstĂźtzt nationale und internationale Unternehmen bei der Abwehr von Cyberangriffen. Zuvor war er unter anderem mehrere Jahre beim Ă&#x2013;sterreichischen Bundesheer im Bereich der Informationssicherheit beschĂ¤ftigt. Mag. (FH) Marcell Nedelko, MSc (rechts im Bild) ist im Bereich Cybersecurity und Privacy bei PwC tĂ¤tig. Zuvor war er unter anderem mehrere Jahre beim Ă&#x2013;sterreichischen Bundesheer im Bereich Cyber Threat Intelligence und Cyberdefence beschĂ¤ftigt. Er ist auf die Beratung nationaler und multinationaler Unternehmen und Organisationen mit Schwerpunkt Cyber Threat Intelligence spezialisiert.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 13

3/2019

8/26/2019 6:37:05 PM

Im Brennpunkt: Cybercrime

Dateilose Schadsoftware: Eine unsichtbare Gefahr In den letzten Jahren hat sich eine Art von Schadsoftware einen Namen gemacht, die schwer zu entdecken ist, weil sie kaum Spuren hinterlässt: „Dateilose Angriffe“. Dateilose Malware manipuliert interne IT- und Rechnerprozesse, sodass diese selbst die Angriffe ausführen. Traditionelle Antivirenlösungen sind gegen solche Attacken zum größten Teil wirkungslos. Ein Angriff kann trotz bestehender Sicherheitslösungen verheerenden Schaden im Unternehmen anrichten.

Von Nikolas Dobiasch | Matthias Holzgethan

Da verschiedenste Sicherheitslösungen Angriffe immer besser erkennen können, verwenden Angreifer immer öfter versteckte Methoden, um eine Entdeckung zu erschweren. Dabei ist in den letzten Jahren ein deutlicher Anstieg sowohl in der Vielfalt als auch in der Komplexität von Schadsoftware zu verzeichnen.1 Verstärkt wird dieser Trend durch die breite Verfügbarkeit automatisierter Programme zur Erstellung von Malware sowie die geringen Qualifikationsanforderungen, um diese Anwendungen einzusetzen. In diesem Zusammenhang spielen sogenannte „Exploit Kits“ eine entscheidende Rolle, um einen Angriff erfolgreich abzuwickeln. Exploit Kits sind Programme, die einerseits bekannte Softwareschwachstellen zusammenfassen und anderseits durch Systemanalysen in der Lage sind, auf ein bestimmtes Ziel maßgeschneiderte Schadsoftware möglichst versteckt zu transportieren und schadhaft einzusetzen. Um eine Erkennung zu vermeiden und den aktuellen Sicherheitslösungen einen Schritt voraus zu sein, greifen Malware-Autoren auch zunehmend auf Software zurück, die auf den Zielsystemen bereits vorhanden ist.2 Insbesondere der digitalen Forensik bereitet dateilose Schadsoftware Grund zur Sorge, da ein Angreifer nur wenig Spuren hinterlässt, die im Zuge einer Untersuchung analysiert werden können.3 Auch wenn im vergangenen Jahr vorwiegend die Malware-Familie „Ransomware“ in den Schlagzeilen erwähnt wurde, erreichten dateilose Angriffe ein Allzeithoch. Diese Beobachtung spiegelt sich auch in den Umfragen und Berich-

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 14

ten diverser Anbieter von Sicherheitslösungen und Instituten wider.4 Dem Endpoint Security-Bericht des Ponemon Insitute ist zu entnehmen, dass 29 Prozent aller Angriffe im Jahr 2017 dateilos erfolgten.5 Darüber hinaus wird in dem Bericht angenommen, dass der Anteil im Jahr 2018 auf 35 Prozent steigt. Das Institut führt diesen Anstieg auf dateilose Angriffe zurück, die fast zehnmal erfolgreicher sind als dateibasierte Attacken. Das Konzept eines dateilosen Schadprogramms ist jedenfalls nicht neu, wurde aber insbesondere in jüngster Vergangenheit verstärkt aufgegriffen, um einen erfolgreichen Angriff auf eine technische Infrastruktur zu starten. Ihren Erfolg haben solche Schadprogramme vor allem der Tatsache zu verdanken, dass traditionelle Antivirenlösungen gegen sie machtlos sind. Eine dateilose Schadsoftware verzichtet auf das Ablegen von herkömmlichen Dateien, die von Sicherheitslösungen untersucht und blockiert werden können. Vielmehr missbrauchen dateilose Angriffe legitime Software und Systemressourcen für schädliche Zwecke. Dieses Vorgehen bleibt oft unbemerkt, da sich die Aktivität eines Angriffs oft mit Routinetätigkeiten eines Systemadministrators vermischt und für Antivirenlösungen, beziehungsweise Sicherheitsspezialisten, nur schwer zu entdecken ist.

PowerShell als potenzielle Bedrohungsquelle Ein typisches Beispiel für ein nützliches Tool, das häufig manipuliert wird, ist die Windows PowerShell, eine Software

zur Automatisierung von Aufgaben der Systemadministration und zur Konfiguration von Systemen.6 PowerShell ist standardmäßig auf jedem WindowsComputersystem installiert und bietet auch ohne Administrator-Berechtigungen weitreichende Möglichkeiten, um auf verschiedene Windows-Komponenten zuzugreifen. Ein Angreifer ist mit PowerShell beispielsweise in der Lage, sensible Daten wie Passwörter auszulesen, oder sogar gesamte Systeme über Fernzugriff zu steuern. In vielen Fällen wird PowerShell-Code in herkömmlichen Malware-Angriffen eingesetzt, um diesen dateilose Komponenten zu verleihen, damit der Angriff länger unentdeckt bleibt. Malware-Autoren versuchen, den Endanwender durch gezielte E-Mail-Phishing-Kampagnen oder kompromittierte Webseiten zu verleiten, Schadcode auszuführen. Im Unterschied zu traditioneller Malware wird versucht, möglichst wenige Dateien auf dem Zielsystem abzulegen und damit das Risiko auf Entdeckung zu reduzieren. Der Schadcode wird stattdessen oft durch ein Skript von einem externen Server geladen und direkt im Arbeitsspeicher des Systems ausgeführt – ein Ort, zu dem herkömmliche Antivirenlösungen keinen Zugriff haben. Die Injektion des Codes erfolgt dabei zum Beispiel durch PowerShell über mehrere Stufen, um den Prozess zusätzlich zu verschleiern. Um sensible Daten aus dem Unternehmen zu schleusen, zählt weiterhin das einfache Kopieren von Dateien über legitime Internetprotokolle und das Anwenden von Kodierung beziehungsweise Verschlüsselung zu den beliebtesten Vorgehensweisen.

www.compliance-praxis.at

8/26/2019 6:37:06 PM

Compliance Management & Praxis Organisation

Hürden in der forensischen Untersuchung Als Reaktion auf einen Sicherheitsvorfall folgt ein Team aus Sicherheitsspezialisten aus dem Bereich der digitalen Forensik allen potenziellen Spuren, die ein Angreifer im Netzwerk bzw auf den Computersystemen hinterlassen hat. Die Hürde bei einer dateilosen Schadsoftware ergibt sich aus dem Umstand, dass Malware-Autoren bewusst darauf achten, keine Dateien auf Festplatten abzuspeichern, welche Hinweise auf den Angriff geben könnten. Der ausgeführte Schadcode bzw viele nützliche Informationen, die sich im Arbeitsspeicher befinden, verschwinden jedoch nach einem Neustart der Computersysteme aufgrund des flüchtigen Speichers, der sich nach dem Hochfahren eines Systems neu befüllt. Die forensische Untersuchung eines dateilosen Angriffs wird oft dadurch erschwert, dass der Vorfall erst einige Zeit später bemerkt wird und viele der nützlichen Artefakte nicht mehr vorhanden sind oder überschrieben wurden. Es gibt nun verschiedene Ansätze aus Sicht der digitalen Forensik, wie dennoch Spuren einer dateilosen Schadsoftware abgeleitet werden können. Eine vielversprechende Maßnahme, um einen dateilosen Angriff zu erkennen, ist es, jegliche Änderung an einem System mit einem zuvor definierten Normalzustand kontinuierlich abzugleichen. Im Zuge einer forensischen Untersuchung können somit schädliche Prozesse aufgedeckt und das Ausmaß eines Angriffs eingegrenzt werden. Falls eine Analyse des Arbeitsspeichers nicht möglich ist, kann auch die Protokollierung von PowerShell, sofern aktiviert, herangezogen werden, um eine Attacke zu enttarnen. Wichtig dabei ist ein gesteigertes Sicherheitsbewusstsein unter Administratoren, da PowerShell

standardmäßig nur eingeschränkt Aktivitäten protokolliert und eine entsprechende Konfiguration bereits vor einem Sicherheitsvorfall notwendig ist.

Mitarbeiterschulungen: Nach wie vor wichtig Generell gilt, dass in einem Unternehmen eine übergreifende Protokollierung von Änderungen an Systemen sowie des Datenverkehrs notwendig ist, um solche Angriffe entdecken zu können. Programme wie Splunk oder Elastic ermöglichen eine automatisierte Auswertung von Protokolldaten, um relativ zeitnah auf einen Vorfall reagieren zu können. Spezialisierte Unternehmen können dabei im Rahmen einer forensischen Untersuchung auf diese Protokolldaten zurückgreifen und Rückschlüsse auf ausgenutzte Schwachstellen im System ziehen. In einem weiteren Schritt können diese Sicherheitslücken gezielt adressiert und geschlossen werden. Andererseits bauen Maßnahmen gegen komplexe Malware wie dateilose Angriffe auf einem präventiven Grundschutz auf, wie zB dem Anwenden von aktuellen Patches, Implementierung von Multi-Faktor-Authentifizierung bzw dem Zuweisen von angepassten Benutzerrech-

ten. Da Angreifer nach wie vor auf User Execution setzen, sprich den Benutzer dazu verleiten wollen, schadhafte Inhalte zB aus dem Anhang einer E-Mail auf Computersystemen auszuführen, ist weiterhin eine kontinuierliche Schulung der Mitarbeiter notwendig, um diesen Angriffsvektor zu reduzieren.

2) 3) 4)

Vgl Malware Trends, US Cert https://www.uscert.gov/sites/default/files/documents/NCCIC_ ICS-CERT_AAL_Malware_Trends_Paper_S508C. pdf (16. 7. 2019). Vgl The Fileless, Non-Malware Menace https:// blog.trendmicro.com/the-fileless-non-malwaremenace/ (15. 7. 2019). Vgl Mansfield-Devine, S., Fileless attacks: compromising targets without malware. Network Security, 2017(4), S 7–11. Vgl Verizon Data Breach Investigations Report 2019, https://enterprise.verizon.com/resources/ reports/2019-data-breach-investigations-report. pdf (16. 7. 2019); McAfee labs threats report: December 2018, Computer Fraud Security, 2019(1):4; Carbon Black Threat Report 2016, https://www.carbonblack.com/wp-content/uploads/2016/12/16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf. Vgl State of Endpoint Security Risk, Ponemon Institute, https://cdn2.hubspot.net/hubfs/468115/ whitepapers/state-of-endpoint-security-2018. pdf (18. 7. 2019). Vgl PowerShell, fileless malware’s great attack vector, https://www.pandasecurity.com/mediacenter/malware/powershell-fileless-malwareattack-vector/ (18. 7. 2019); Security 101: The Rise of Fileless Threats that Abuse PowerShell, https://www.trendmicro.com/vinfo/pl/security/ news/security-technology/security-101-the-riseof-fileless-threats-that-abuse-powershell (18. 7. 2019).

Die Autoren

Nikolas Dobiasch, MSc (links im Bild) ist im Deloitte Digital Forensic Team als Analyst tätig. DI Matthias Holzgethan (rechts im Bild) ist im Bereich Digital Forensic für computerforensische Untersuchungen verantwortlich und berät Unternehmen mit dem Umgang und der Aufarbeitung von Sicherheitsvorfällen.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 15

3/2019

8/26/2019 6:37:06 PM

Monitoring & Evaluation: Wie wirkungsvoll sind Anti-Korruptionsstrategien von internationalen Hilfsorganisationen? Um diese Frage beantworten zu können, eignet sich der Einsatz von „Results-Based-Monitoring & EvaluationSystemen“. Solche Systeme zeigen auf, wie wirkungsvoll eine Anti-Korruptionsstrategie tatsächlich ist. Der folgende Artikel beschreibt am Beispiel internationaler Hilfsorganisationen, wie in wenigen Schritten ein „Results-Based-M&E-System“ aufgebaut und implementiert werden kann.

Von Thomas Tschiggerl

Anti-Korruptionsstrategien von internationalen Hilfsorganisationen Internationale Hilfsorganisationen werden dort tätig, wo die Not der Bevölkerung am größten ist. Sie arbeiten unter schwierigsten Bedingungen, inmitten von bewaffneten Konflikten, Hungersnöten, Epidemien und in von Naturkatastrophen zerstörten Gebieten. Um der betroffenen Bevölkerung rasch die nötigen Hilfsgüter zukommen zu lassen, werden große Mengen an finanziellen und materiellen Ressourcen in Volkswirtschaften eingesetzt, in denen staatliche Strukturen nicht mehr funktionieren. Unter solchen Rahmenbedingungen erhöht sich das Korruptionsrisiko deutlich, mit besonders dramatischen Auswirkungen bei Soforthilfemaßnahmen in kriegerischen Auseinandersetzungen oder nach Naturkatastrophen.1 Oberstes Ziel internationaler Hilfsorganisationen ist es, das Leid der Zivilbevölkerung zu lindern, Leben zu retten und das Überleben zu sichern. Um diesen Zielen gerecht werden zu können, muss der Kampf gegen Korruption ein fester Bestandteil in den Aktivitäten der Organisationen sein. Auf den ersten Blick wird Korruption in den Ländern, in denen Hilfsorganisationen tätig sind, als Problem des öffentlichen Sektors angesehen, nicht aber als eines der Hilfsorganisationen. Korruption beschränkt sich bei der Umsetzung von humanitären Projekten

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 16

und Hilfsprogrammen jedoch nicht nur auf den öffentlichen Sektor. Mitarbeiter internationaler Hilfsorganisationen bekleiden oft Positionen, die mit jenen von öffentlichen Amtsträgern vergleichbar sind und daher die Möglichkeit bieten, übertragene Macht zum eigenen Vorteil zu missbrauchen.2 In den letzten Jahren ist bei internationalen Hilfsorganisationen das Bewusstsein gewachsen, dass aufgrund von Korruption humanitäre Hilfe die Menschen in Not gar nicht oder nur mangelhaft erreicht. In der Vergangenheit haben es viele Hilfsorganisationen vorgezogen, Fälle von Korruption nicht offenzulegen, um einen Imageverlust zu vermeiden und dringend benötigte finanzielle Mittel nicht zu verlieren.3 Öffentliche Diskussionen über Korruption wurden daher weitgehend gemieden und zahlreiche Organisationen zögern immer noch, Korruption offen zu diskutieren. Eine Vernachlässigung und Ignoranz des Korruptionsrisikos kann jedoch Glaubwürdigkeit, Ziele und Legitimität von Organisationen weit stärker gefährden. Nur eine proaktive Auseinandersetzung mit Korruptionsfällen führt zu effizienten Anti-Korruptionsstrategien und erst ein transparenter Umgang mit Korruption schafft die benötigte Grundlage für effektive Präventionsarbeit, die Medienskandalen vorbeugen, die Glaubwürdigkeit der Organisation stärken und das Vertrauen der Spender sichern hilft. Hilfsorganisationen argumentieren oft, schnelle Reaktionszeiten würden keinen

systematischen und strukturierten Ansatz zur Korruptionsbekämpfung erlauben. Gerade in akuten Krisenfällen stehen sie oft unter dem Druck von Medien und Spendern, rasch tätig zu werden. In Notsituationen wären vereinfachte, standardisierte und schnellere Verfahren erforderlich, in den Phasen nach Konflikten und Katastrophen sollten hingegen langfristige Anti-Korruptionsstrategien mit den nötigen Ressourcen Anwendung finden. Damit bleibt Korruption bei internationalen Hilfsorganisationen ein schwieriges Thema. Diskussionen über Korruption sollten in Zukunft offener geführt werden, um effiziente Strategien zur Korruptionsprävention entwickeln zu können.

Monitoring & Evaluation von Anti-Korruptionsstrategien M&E-Systeme sollten ein fester Bestandteil jeder Anti-Korruptionsstrategie sein und bereits in der Entwicklungsphase mitberücksichtigt werden. Mithilfe von M&E-Systemen werden Daten anhand messbarer Indikatoren generiert und ausgewertet, um festzustellen, ob die gewünschten Zielsetzungen erreicht wurden oder nicht. Effektive M&E-Systeme benötigen regelmäßige Berichtszyklen, die zuverlässige Daten generieren, um den Fortschritt zu überwachen4. Monitoring liefert die erforderlichen Daten über den Fortschritt einer Strategie und deren Evaluierung zeigt, welche

www.compliance-praxis.at

8/26/2019 6:37:09 PM

Compliance Management & Praxis Organisation

einzelnen Elemente einer Anti-Korruptionsstrategie funktionieren und welche Änderungen vorgenommen werden müssen, um sie effektiver zu machen. M&E von Anti-Korruptionsstrategien wird in den meisten Organisationen gänzlich vernachlässigt, wobei dies eine der produktivsten Formen der Korruptionsprävention sein könnte. Für internationale Hilfsorganisationen ist es unerlässlich, Nachweise zu erbringen, ob Hilfsprogramme auch die angestrebten Ziele erreichen und die zur Verfügung gestellten Gelder ordnungsgemäß verwaltet werden. Als geeignete Methoden zur Erbringung solcher Nachweise eignen sich Results-Based Managementsysteme, Audits, Feedback von Beratungsgremien und M&E-Systeme. M&E-Systeme für Anti-Korruptionsstrategien ermöglichen es, Chancen, Risiken und Schwächen einer solchen Strategie aufzuzeigen und berücksichtigen auch Fehler in der Umsetzung.5

10 Schritte zur Entwicklung eines M&E-Systems In nur wenigen Schritten kann ein so genanntes Results-Based-M&E-System für Anti-Korruptionsstrategien von internationalen Hilfsorganisationen erstellt werden. Results-Based-M&E-Systeme erlauben eine gezielte Analyse der Auswirkungen und der gewünschten Endergebnisse einer Anti-Korruptionsstrategie. Sie erweitern das Wissen über Korruption innerhalb der Organisation und zeigen, welche Maßnahmen erfolgreich sind, welche weniger erfolgreich sind und warum. Dieser Beitrag beschreibt die Erstellung eines Results-Based-M&E-Systems basierend auf einer Publikation der Weltbankgruppe.6 Darin wird ein 10-SchritteModell für Institutionen des öffentlichen Dienstes und Regierungen beschrieben. Damit das Modell den besonderen An-

forderungen internationaler Hilfsorganisationen gerecht wird, wurden folgende Einflussfaktoren berücksichtigt:  begrenzte finanzielle und personelle Ressourcen für Entwicklung, Implementierung und laufende Anwendung von M&E-Systemen;  globale Präsenz;  komplexes, herausforderndes und instabiles Organisationsumfeld;  zentralisierte Organisationssteuerung;  Korruption als Tabuthema. Zur Erstellung eines Results-BasedM&E-Systems für internationale Hilfsorganisationen sind folgende 10 Schritte zu durchlaufen:

Schritt 1: Assessment der AntiKorruptionsstrategie und allgemeinen Rahmenbedingungen Am Beginn des Planungsprozesses ist es erforderlich festzustellen, ob innerhalb der Organisation Bereitschaft für die Anwendung von M&E-Systemen gegeben ist und ob die Organisation über die dafür benötigten organisatorischen Kapazitäten verfügt. In diesem ersten Schritt werden auch die einzelnen Elemente einer bereits bestehenden Anti-Korruptionsstrategie identifiziert und erfasst. In diesem Anfangsassessment sollten auch ein komplexes Organisationsumfeld, die Länder, in denen die Hilfsorganisation tätig ist, und die Art der humanitären Hilfe berücksichtigt werden. Im Folgenden wird als Referenzelement einer Anti-Korruptionsstrategie der „Code of Conduct“ herangezogen und als Praxisbeispiel für einzelne Schritte verwendet.

Schritt 2: Definition der Endergebnisse Für den Aufbau eines erfolgreichen M&ESystems ist es unerlässlich, gewünschte

Ergebnisse der Anti-Korruptionsmaßnahmen zu definieren. Diese Festlegungen sollten so deutlich wie möglich formuliert werden, um später feststellen zu können, ob die Strategie erfolgreich war und wie sie ggf angepasst werden muss. Bei der Definition der Ergebnisse ist es wichtig, sich über die strategischen Prioritäten, Problemstellungen und festgelegten Ziele im Klaren zu sein. Ziele können sich dabei auf bestimmte Organisationseinheiten, Projekte, ein bestimmtes Land oder eine ganze Region beziehen. Aus diesen Zielen können in weiterer Folge die gewünschten Ergebnisse abgeleitet werden (vgl Beispiel 1).

Schritt 3: Auswahl geeigneter Schlüsselindikatoren Eine gut konzipierte Anti-Korruptionsstrategie muss klar messbare Ziele und Indikatoren enthalten. Die Indikatoren messen den Fortschritt einzelner Aktivitäten, zeigen aber auch, wann eine Strategie insgesamt erfolgreich ist und welche Erfolge erzielt wurden. Indikatoren zeigen auch, ob eine Organisation bei der Erreichung der Ergebnisse vorankommt. Schlüsselindikatoren sind erforderlich, um zu wissen, wann die Strategie das gewünschte Ergebnis erreicht hat. Grundsätzlich sollten für alle Elemente der Strategie ausreichend Indikatoren mit qualitativen oder quantitativen Variablen festgelegt werden (vgl Beispiel 2 auf Seite 18).

Schritt 4: Erstellung von Basisdaten und Datensammlung Nach der Auswahl geeigneter Schlüsselindikatoren müssen Basisdaten definiert werden, die das aktuelle Niveau eines Indikators in Bezug auf das angestrebte Ergebnis anzeigen. Basisdaten können als erste Messung eines Indikators gesehen werden und legen die Rahmenbedingungen für die zukünftige Beobachtung von Veränderun-

Beispiel 1: Element

Problem

Ziel

Ergebnis

Code of Conduct

Unethisches und korruptes Verhalten; Verstöße gegen Code of Conduct, Richtlinien, Vorschriften oder Gesetze.

Förderung von ethischem und regelkonformem Verhalten.

Strikte Einhaltung des Code of Conduct, Richtlinien, Vorschriften oder Gesetze; hohe ethische Standards.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 17

3/2019

8/26/2019 6:37:10 PM

Beispiel 2: Element

Ergebnis

Code of Conduct

Strikte Einhaltung des Code of  Conduct, Richtlinien, Vorschriften oder Gesetze; hohe ethische  Standards.  

gen fest. Diese Vorgehensweise erlaubt dem Verantwortlichen einer Anti-Korruptionsstrategie die aktuelle Performance abzurufen und liefert die notwendigen Nachweise, anhand derer der aktuelle Status gemessen werden kann. Zum Aufbau eines Informationssystems für Indikatoren müssen Organisationen festlegen, welche Informationsquellen die relevanten Daten liefern. Sobald die Datenquellen bekannt sind, müssen geeignete Methoden zur Datenerhebung gefunden werden. Basisdaten sind der Ausgangspunkt für das Monitoring zukünftiger Performance (vgl Beispiel 3).

Schritt 5: Festlegung von Zielwerten Nach dem Festlegen der Basisdaten werden im nächsten Schritt Zielwerte bestimmt. Zielwerte sind ein quantifizierbares Niveau eines Indikators, das eine Organisation in einem bestimmten Zeitraum durch die Einführung einer Anti-Korruptionsstrategie erreichen will. Der Ausgangspunkt und die verfügbaren Ressourcen, um über einen längeren Zeit-

Schlüsselindikatoren Anzahl und Art der Verstöße gegen Code of Conduct, Richtlinien, Vorschriften oder Gesetze Anzahl und Art ausgesendeter Mitarbeiterkommunikationen Testergebnisse aus Compliance-Test Umfrageergebnisse aus Mitarbeiterumfrage zum Thema Compliance und Anti-Korruption

raum Fortschritte zu erzielen, sollte stets bekannt sein. Die Festlegung der Zielwerte ist zugleich auch der letzte Schritt im Aufbau der Rahmenbedingungen des M&E-Systems (vgl Beispiel 4).

Schritt 6: Monitoring Für das Monitoring einer Anti-Korruptionsstrategie wird ein System benötigt, um die notwendigen Daten zu verwalten, und nützliche Informationen für den weiteren Entscheidungsprozess bereitzustellen. Die gewonnenen Daten liefern den Nachweis über die Performance einer Strategie und zeigen die nötigen Anpassungen und Verbesserungen der Strategie auf. Das M&E-System sollte dabei eng mit dem Arbeitsplan der Anti-Korruptionsstrategie abgestimmt sein, um sicherzustellen, dass es sich auch an den Zielen der Strategie orientiert.

Schritt 7: Evaluierung Die Evaluierung von Informationen fließt in die laufende Anwendung der Anti-

Korruptionsstrategie. Evaluierungen ermöglichen es, Erkenntnisse zu gewinnen, Feedback zu geben und Verantwortlichkeit zu fördern. Die Evaluierung von Informationen zeigt, ob die geplanten Ergebnisse der Anti-Korruptionsstrategie erfolgreich sind und welche Ressourcen dazu benötigt werden. Evaluierungen können darüber hinaus helfen, Entscheidungen über die Beibehaltung, Erweiterung, Neugestaltung oder gar den Verzicht der Anti-Korruptionsstrategie zu treffen. Es kann auch vorkommen, dass eine Anti-Korruptionsstrategie keinerlei Auswirkungen hat, was an einer schlechten Konzeptionierung oder mangelhaften Umsetzung der Strategie liegen kann.

Schritt 8: Reporting Die Analyse und Berichterstattung der Evaluierungsergebnisse sind wichtige Schritte im M&E-Prozess. Sie bestimmen, welche Art von Informationen und Daten über welchen Zeitraum zu melden sind. M&E-Reportings über AntiKorruptionsstrategien können auf unter-

Beispiel 3: Schlüsselindikatoren

Datenquelle

Methoden zur Daten- Frequenz erhebung

Anzahl und Art der Verstöße gegen Code of Conduct, Richtlinien, Vorschriften oder Gesetze

Internes Reporting: ComplianceAbteilung

regelmäßiges Reporting monatlich

Anzahl und Art gesendeter Mitarbeiterkommunikationen

Internes Reporting: ComplianceAbteilung

regelmäßiges Reporting halbjährlich

Testergebnisse aus Compliance-Test

Online Training Tool

Auswertung des Online Tools

halbjährlich

Umfrageergebnisse zum Thema Compliance und Anti-Korruption

Mitarbeiterumfrage

Umfrage Auswertung

jährlich

Beispiel 4: Ergebnis

Schlüsselindikatoren

Strikte Einhaltung des Code of Conduct, Anzahl und Art der Verstöße gegen Richtlinien, Vorschriften oder Gesetze; Code of Conduct, Richtlinien, Vorhohe ethische Standards schriften oder Gesetze

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 18

Basisdaten 0

Zielwert < 5 gemeldete Verstöße innerhalb eines Jahres

www.compliance-praxis.at

8/26/2019 6:37:10 PM

Compliance Management & Praxis Organisation

schiedliche Weise verwendet werden. Reportings stärken die Verantwortlichkeit gegenüber Spendern, überzeugen durch die praktische Anwendung gewonnener Erkenntnisse, stärken das „Organizational Learning“ und helfen festzustellen, was funktioniert und warum. Reportings können auch als Dokumentation zur Schaffung eines institutionellen Gedächtnisses verwendet werden und Geldgeber aktiv mit einbinden. Regelmäßiges Reporting erhöht die Akzeptanz von AntiKorruptionsmaßnahmen.

Schritt 9: Anwendung der Erkenntnisse Der Hauptzweck eines M&E-Systems besteht darin, die gewonnenen Erkenntnisse zu nutzen, um die Performance der Anti-Korruptionsstrategie laufend zu verbessern. Ziel des M&E-Systems ist es nicht nur Daten zu generieren, sondern auch nützliche Informationen zur richtigen Zeit an die richtigen Personen weiterzugeben. Das erhaltene Feedback wird dann genutzt, um die Anti-Korruptionsstrategie der Organisation besser zu steuern. M&E-Systeme liefern wichtige Informationen über ein Scheitern sowie den Erfolg einer Anti-Korruptionsstrategie über den gesamten Strategiezyklus. M&E-Systeme sind als ein leistungsstarkes Management-Tool zu sehen, mit dem die Performance verbessert wird und Transparenz und Verantwortlichkeit nachgewiesen werden können.

Schritt 10: Fortführung von M&E-Systemen innerhalb der Organisation Der letzte Schritt des M&E-Zyklus ist die Fortführung eines bereits implemen-

tierten M&E-Systems. Ein M&E-System für eine Anti-Korruptionsstrategie ist in der Regel ein langfristiges Vorhaben, kann aber auch für die Dauer eines Hilfseinsatzes begrenzt werden. Dies hängt von der Organisationsstrategie und der Nachfrage nach einem M&E-System ab. Wenn die Nachfrage unregelmäßig ist, werden M&E-Systeme nicht lange aufrechterhalten werden können. Die Nachfrage kann von institutionellen Spendern ausgehen, die greifbare Ergebnisse in der Korruptionsprävention bestätigt sehen möchten oder wenn strategische Ziele der Hilfsorganisation darin bestehen, Korruption zu bekämpfen. Es müssen klare Rollen und Verantwortlichkeiten festgelegt werden und die Organisation muss entscheiden, wer für Berichterstattung, Analyse und Sammlung von Informationen verantwortlich ist. Die interne Koordination ist dabei wichtig und ein kontinuierliches System zur Datenerfassung, Analyse und Berichterstattung ist auf allen Ebenen der Organisation erforderlich. Daten, die auf Länderebene analysiert und gemeldet werden, sollten in einer zentralen Datenbank erfasst werden. Die gesammelten Informationen sollten auch anderen Interessengruppen auf transparente Weise zugänglich gemacht werden.

Korruption bei internationalen Hilfsorganisationen deutlich an Aufmerksamkeit gewonnen. Organisationen sind dazu aufgerufen, ihre Bemühungen zur Minimierung von finanziellen Schäden und Reputationsverlusten aufgrund von Korruption weiter zu verstärken. Um nachzuweisen, dass die Anti-Korruptionsstrategien die gewünschte Wirkung erzielen, müssen Hilfsorganisationen systematisch M&E-Systeme implementieren. Die Hauptfunktion von M&E-Systemen besteht darin, die Ergebnisse der Evaluierung zu verwenden, um die Performance der Anti-Korruptionsstrategie laufend zu verbessern. M&E-Systeme liefern wichtige Informationen über potenzielle Stärken und Schwächen während des gesamten Strategiezyklus. Ebenso kann die Effizienz von Anti-Korruptionsstrategien laufend weiterentwickelt und verbessert werden. Das Fehlen von M&E-Systemen kann zu Ineffizienzen führen und das Risiko von finanziellen Schäden und Reputationsverlusten aufgrund von Korruption erhöhen. Abschließend lässt sich sagen, dass internationale Hilfsorganisationen ihre Bemühungen zur Korruptionsbekämpfung weiter intensivieren sollten.

Schlussfolgerung 1)

M&E-Systeme sind für den Erfolg von Anti-Korruptionsstrategien für internationale Hilfsorganisationen von entscheidender Bedeutung. Sie zeigen Risiken, Nutzen und Schwächen bestehender Anti-Korruptionsmaßnahmen auf und liefern konkrete Informationen für notwendige Verbesserungen. In den letzten Jahren hat das Risiko

2) 3) 4) 5) 6)

Transparency International (2014): Preventing corruption in humanitarian operations. Cremer, G. (2008): Corruption and development aid: confronting the challenges. Fletcher, C./Herrmann, D. (2012): The internationalisation of corruption: scale, impact and countermeasures. UNODC (2015): National anti-corruption strategies: a practical guide for development and implementation. CMI (2011): How to monitor and evaluate anti-corruption agencies: guidelines for agencies, donors and evaluators. Kusek, J. Z./Rist, R. C. (2004): Ten steps to a results based monitoring and evaluation system.

Der Autor

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 19

Mag. Thomas Tschiggerl, MBA MA ist Finanzspezialist und Anti-Korruptions-Experte. Viele Jahre arbeitete er für Hilfsorganisationen in Krisengebieten, etwa in Afghanistan, Irak, Jordanien oder Sierra Leone. Seit Anfang 2019 leitet er die Arbeitsgruppe für Entwicklungszusammenarbeit und humanitäre Hilfe bei Transparency International – Austrian Chapter. Er hält einen Master in Anti-Corruption Studies der IACA.

3/2019

8/26/2019 6:37:10 PM

Compliance Inside

Schritt für Schritt zum „perfekten“ Verhaltenskodex Der Verhaltenskodex – ein Thema, über das es bereits genügend Artikel, Anleitungen und Vorlagen gibt. Dennoch finden sich regelmäßig Verhaltenskodizes, die noch Luft nach oben haben – inhaltlich, formal, grafisch und rechtlich. Welche „typischen“ Fehler bei der Erstellung von Code of Conducts (CoCs) begangen werden und wie der Weg zum perfekten Verhaltenskodex aussehen könnte – eine Schritt-für-Schritt-Anleitung.

Von Jacqueline Mlinarcsik

In vielen Fällen bildet die Erstellung eines Verhaltenskodex den Ausgangspunkt für die Compliance-Bemühungen eines Unternehmens. Beim Aufsetzen eines solchen Schriftstücks beschäftigen sich die zuständigen Personen meist zum ersten Mal mit den fundamentalen Fragen eines Compliance-Management-Systems:  Was sind unsere Compliance-Ziele und wie passen sie zu unseren Unternehmenszielen?  Welche Bereiche wollen und sollen wir in unserem Unternehmen regeln?  Welche Regelungen sind essenziell für eine gute interne und externe Zusammenarbeit?  Wer soll als Ansprechpartner für Compliance genannt werden?  Welche Folgen haben ComplianceVerstöße? Der Verhaltenskodex kann somit als einer der ersten Schlüsselpunkte für die Einführung von Compliance sowie einzelner Compliancemaßnahmen in einem Unternehmen gesehen werden. Daher stellt sich zurecht die Frage, wie ein guter Verhaltenskodex eigentlich aussehen sollte.

„Ist doch eh klar“ – oder doch nicht? Von vielen Unternehmen wird die Bedeutung des Verhaltenskodex verkannt. Dient er für eine Großzahl an Unternehmen zur Präsentation der Unternehmenswerte sowie der unternehmensinternen Bestrebungen nach außen hin, wird oftmals übersehen, dass ein (guter) CoC viel mehr als nur diese eine Funktion erfüllt. Ein guter CoC gibt externen Personen, aber auch neu eintretenden Mitarbeitern, ein erstes Gefühl für die Ausrichtung,

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 20

die Einstellungen sowie die Werte eines Unternehmens. Was im ersten Moment banal klingen mag, hat insbesondere in Zeiten, in denen Arbeitnehmer ihre potenziellen Arbeitgeber verstärkt auch auf Grund sozialer und gesellschaftlicher Aspekte auswählen (Stichwort Generation Y/Z), und Geschäftspartner und Investoren auf Grund der hohen Anzahl an Möglichkeiten ihre Partner sehr sorgsam wählen, einen umso höheren Stellenwert. Der Verhaltenskodex ist für ein Unternehmen wie der erste Eindruck bei einem persönlichen Gespräch: Ist dieser negativ, so wird es schwer werden, das Gegenüber im Weiteren vom Gegenteil zu überzeugen. Der CoC vermittelt den anderen Personen somit einen ersten Eindruck von der Werteverbundenheit, der Regelkonformität sowie dem Umgang mit Geschäftspartnern des Unternehmens. Nutzen Sie ihn also! Weiters ist ein Verhaltenskodex auch eines der ersten Dokumente, in denen sich – insbesondere international vertretene Unternehmen – mit der Frage auseinandersetzen müssen, welche Werte und Verhaltensrichtlinien für eine gute Zusammenarbeit unter den Mitarbeitern und mit den Geschäftspartnern essenziell sind. Insbesondere aufgrund von unterschiedlichen Kulturen, Religionen oder gesellschaftlichen Einstellungen ist es in vielen Fällen eine Herausforderung, bei dieser Frage einen gemeinsamen Nenner zu finden. Bei der Formulierung der einzelnen Verhaltensrichtlinien muss auf diese kulturelle Diversität besonderes Augenmerk gelegt werden. Themen wie Antidiskriminierung und Gleichbehandlung sollen nicht nur als Grundsätze verbrieft werden – die Formulierung und

Festsetzung entsprechender Rahmenbedingungen und Anordnungen sollte es ermöglichen, dass diese essenziellen Werte auch gelebt werden. Auch rechtlich darf die Bedeutung eines Verhaltenskodex nicht unterschätzt werden. Der CoC ist in den meisten Fällen als verbindliche interne Verhaltensanweisung oder Richtlinie ausgestaltet. In Arbeitsverträgen findet sich regelmäßig der Passus, dass Verstöße gegen interne Richtlinien (teilweise wird auch explizit von Verstößen gegen den Verhaltenskodex gesprochen) arbeitsrechtliche Konsequenzen nach sich ziehen, die von einer Abmahnung bis hin zu Kündigung oder Entlassung reichen können. Insbesondere in Fällen von diskriminierenden, sexistischen oder ausländerfeindlichen Aussagen oder Handlungen (egal ob direkt oder über einen Social-Media-Kanal) dient der Verstoß gegen den Verhaltenskodex oft als Auffangtatbestand für die Aussprache einer Kündigung oder Entlassung. Daher kann der Verhaltenskodex insbesondere auch dafür genützt werden, Themenbereiche zu regeln, die rechtlich nur partiell oder unzureichend geregelt sind. Dies stellt weiters auch einen wertvollen Beitrag von Unternehmen zu ihren gesellschaftlichen Verpflichtungen dar. Insbesondere der Umgang in sozialen Medien sollte nicht nur in einer eigenen Richtlinie geregelt, sondern auch innerhalb des CoC eines Unternehmens angesprochen werden. Dadurch wird der Stellenwert des korrekten Verhaltens in diesen Medien auf eine höhere Ebene gehoben – und ein verstärktes Bewusstsein bei allen Betroffenen geschaffen. Weiters stellt die falsche Behauptung, zu den Unterzeichnern eines Verhaltens-

www.compliance-praxis.at

8/26/2019 6:37:10 PM

Compliance Management & Praxis Organisation

*RRG WR NQRZ 'HU &R& LP 8:* 'XUFK GLH 8PVHW]XQJ GHU (8 5LFKWOLQLH (* QRUPLHUW GDV 8:* GLH XQULFKWLJH %HKDXSWXQJ HLQHV 8QWHUQHKPHUV ]X GHQ 8QWHU]HLFKQHUQ HLQHV 9HUKDOWHQVNRGH[ ]X JHK|UHQ, DOV XQHUODXEWH LUUHIÂ KUHQGH *HVFKlIWVSUD[LV

,Q Â&#x2020; $EV = GHV GHXWVFKHQ 8:* ILQGHW VLFK HLQH /HJDOGHILQLWLRQ GHV %HJULIIV â&#x20AC;&#x17E;9HUKDOWHQVNRGH[â&#x20AC;&#x153; 'HPQDFK VLQG 9HUKDOWHQVNRGL]HV â&#x20AC;&#x17E;9HUHLQEDUXQJHQ RGHU 9RUVFKULIWHQ Â EHU GDV 9HUKDOWHQ YRQ 8QWHUQHKPHUQ ]X ZHOFKHP GLHVH VLFK LQ %H]XJ DXI :LUWVFKDIWV]ZHLJH RGHU HLQ]HOQH JHVFKlIWOLFKH +DQGOXQJHQ YHUSIOLFKWHW KDEHQ RKQH GDVV VLFK VROFKH 9HUSIOLFKWXQJHQ DXV *HVHW]HV RGHU 9HUZDOWXQJVYRUVFKULIWHQ HUJHEHQÂł

Abbildung 1: CoC und UWG â&#x20AC;&#x201C; Good to know

kodex zu gehĂśren, einen Tatbestand der schwarzen Liste gemĂ¤Ă&#x; der EU-Richtlinie gegen unlauteren Wettbewerb dar, die in Ă&#x2013;sterreich und in Deutschland jeweils im UWG umgesetzt worden ist (vgl Abbilung 1). Viele Unternehmen fĂźgen VertrĂ¤gen mit GeschĂ¤ftspartnern oder Lieferanten ihren Verhaltenskodex an und vereinbaren, dass die Einhaltung dieses CoC Bestandteil des Vertrags wird und jeder VerstoĂ&#x; zu einer KĂźndigung der GeschĂ¤ftsbeziehung fĂźhren kann. Insbesondere im Hinblick auf CSR-Verpflichtungen oder die DurchfĂźhrung von Audits beim Lieferanten spielt der CoC eine wichtige Rolle â&#x20AC;&#x201C; umso mehr, wenn bei diesem kein eigenstĂ¤ndiger CoC vorhanden ist. In solchen FĂ¤llen sollten Unternehmen umso mehr darauf achten, welche Bereiche wie und auch wie detailliert innerhalb des Verhaltenskodex geregelt werden. Ausschreibungspflichtige Unternehmen fĂźgen den Verhaltenskodex auch ihren Ausschreibungsunterlagen bei â&#x20AC;&#x201C; inkl Passus, dass bei VerstoĂ&#x; gegen diesen der Bewerber ausgeschieden bzw das VertragsverhĂ¤ltnis aufgelĂśst werden kann.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 21

Derartige Unternehmen sollten daher ebenfalls ein besonderes Augenmerk auf die Ausformulierung ihres Verhaltenskodex legen.

Die LĂ¤nge machtâ&#x20AC;&#x2122;s â&#x20AC;&#x201C; oder doch nicht? Wenn man sich die diversen Verhaltenskodizes von Unternehmen unterschiedlicher Sparten und Branchen ansieht, so erkennt man vor allem eines: CoCs reichen von einer prĂ¤gnanten Darstellung auf zwei Seiten bis hin zu langen Beschreibungen mit bis zu 50 oder 60 Seiten. Nun kann keine Pauschalseitenzahl genannt werden, die den perfekten Verhaltenskodex ausmacht. Allerdings hĂ¤ngt die LĂ¤nge von der Branche und dem Spezialisierungsgrad eines Unternehmens ab: So finden sich bei Unternehmen in der Pharma- und Medizinbranche regelmĂ¤Ă&#x;ig Ă¤uĂ&#x;erst ausfĂźhrliche und lange Verhaltenskodizes. Dies ist zum einen der starken Regulierung dieser Branchen geschuldet, zum anderen aber auch dem sensiblen GeschĂ¤ftsgegenstand dieser Sektoren und dem intensiven Kontakt

mit AmtstrĂ¤gern. So vorbildlich die Bestrebung der Unternehmen auch ist, die Bedeutung von Compliance und die genauen AnknĂźpfungspunkte und Regelungen im Umgang mit Kunden, Patienten, AmtstrĂ¤gern usw transparent und verstĂ¤ndlich darzustellen, darf man auch nie vergessen, dass der Verhaltenskodex als Leitfaden und Ă&#x153;berblick fĂźr externe und interne Personen dienen soll. Ein Dokument mit mehr als 30 Seiten werden wohl nur die wenigsten (auch noch so motivierten) Mitarbeiter und interessierten Stakeholder genau durchlesen. Insbesondere kann bei derart langen Verhaltenskodizes Ăźberlegt werden, ob die Regelung einiger Bereiche und Prozesse nicht besser in eine interne Richtlinie oder Verhaltensanweisung passen wĂźrde. Allerdings sollte ein Verhaltenskodex auch nicht zu kurz sein. Ein Kodex, der es schafft, alle relevanten Bereiche und Informationen auf ein bis zwei Seiten darzustellen, wird wohl die Ausnahme bleiben und wenn, dann nur bei kleinen, sehr spezialisierten Unternehmen mĂśglich sein. Auch hier stellt sich die Frage: Welchen Eindruck vermittelt ein Unternehmen nach auĂ&#x;en, das alle Compliance-relevanten Bereiche und Wertvorstellungen auf einer Seite zusammenfassen kann? Mittlere bis grĂśĂ&#x;ere Unternehmen werden mit der ErĂśrterung der â&#x20AC;&#x17E;typischenâ&#x20AC;&#x153; Themenfelder eines Verhaltenskodex (Anti-Korruption, Umgang mit GeschĂ¤ftspartnern, Kartellrecht, AntiDiskriminierung, Arbeitssicherheit, Umgang mit Firmeneigentum, Datenschutz etc) mehrere Seiten fĂźllen. Je nach Branche, GrĂśĂ&#x;e und Art des Unternehmens sollte ein Verhaltenskodex sich daher auf etwa fĂźnf bis 15 Seiten erstrecken. Insbesondere dĂźrfen Sie nicht auĂ&#x;er Acht lassen, dass Ihr CoC nicht nur aus reinem Text bestehen sollte â&#x20AC;&#x201C; auch die grafische Aufbereitung ist ein wesentliches Element eines Verhaltenskodex, wie weiter unten noch thematisiert werden wird.

Tone from the Top Ein guter Verhaltenskodex muss auf alle FĂ¤lle mit einleitenden Worten der GeschĂ¤ftsfĂźhrung beginnen. NatĂźrlich, auch diese Tatsache alleine macht keinen perfekten CoC aus, allerdings wird

3/2019

8/26/2019 6:37:10 PM

dadurch die Bedeutung von Compliance innerhalb des Unternehmens hervorgehoben. Je persönlicher diese Eingangsworte sind, und je stärker der Konnex von Compliance zu dem Geschäftsbereich hervorkommt, desto erfolgreicher wird ein Unternehmen den Lesern seine Botschaft vermitteln können. In der Regel ist die Aussage des CEO das Erste, was der Leser liest – dies muss ihn ansprechen und eine gewisse Authentizität vermitteln. Da die Einleitung durch den CEO bei CoCs mittlerweile nicht nur eine Symbolwirkung hat, sondern bereits zum „State of the Art“ zählt, fällt ein solch fehlendes Statement auf alle Fälle negativ auf.

Die Marketingabteilung – Ihre Geheimwaffe! Ein Verhaltenskodex sollte nicht nur inhaltlich, sondern auch vom äußeren Erscheinungsbild her ansprechend sein. Auch wenn man ein Buch nie nach seinem Umschlag bewerten sollte – die grafische Aufmachung eines CoC spielt (unterbewusst) bei der Bewertung durch die Leser immer mit. Auch hier wieder die rhetorische Frage: Was soll sich ein Leser denken, wenn ein Unternehmen für den CoC lediglich ein „langweiliges“ WordFile verwendet? Dies soll keinesfalls bedeuten, dass Sie aus Ihrem CoC eine Werbebroschüre machen sollten. Allerdings stellt eine ansprechende und auf die Corporate Identity des Unternehmens abgestimmte grafische Aufmachung dieses Dokumentes einen weiteren Schritt zum perfekten Verhaltenskodex dar!

Vom Wort zur Sprache Ein CoC muss von Anfang bis Ende gut durchdacht sein. Nicht nur inhaltlich und grafisch muss er ansprechend, kor-

rekt und umfassend sein, sondern auch die Wort- und Sprachwahl ist hierbei von oft unterschätzter Bedeutung. Ein CoC sollte die Mitarbeiter eines Unternehmens anSPRECHEN. Diese Ansprache besteht aus zwei Dimensionen: Zum einen aus der Wortwahl, also wie der CoC tatsächlich ausformuliert ist, zum anderen aus der Sprache, in der der CoC veröffentlicht bzw zur Verfügung gestellt wird. Zu Ersterem: Ein Verhaltenskodex sollte allen Lesern immer einen guten und schnellen Überblick über den jeweiligen Themenbereich gewähren und als Leitfaden für korrektes Verhalten dienen. Hierfür ist es unabdingbar, dass er eindeutige, bekannte Begriffe benutzt und dadurch leicht verständlich ist. Jeder Mitarbeiter, unabhängig von seiner beruflichen Tätigkeit, seiner Ausbildung oder seiner nach Jahren bemessenen Zugehörigkeit zu einem Unternehmen, muss beim ersten Mal verstehen können, was der Text aussagt und wie er selbst sich korrekt verhalten kann. Durch bewusste „WIR-Botschaften“ dient der Verhaltenskodex außerdem zur Stärkung des Gemeinschaftsgefühls in einem Unternehmen – und führt nebenbei auch dazu, dass sich Mitarbeiter persönlich stärker in die Pflicht genommen fühlen. Die zweite Dimension bildet die Frage nach der Sprache, in der der CoC veröffentlicht wird. Auch wenn die Unternehmenssprache Deutsch oder Englisch ist, gibt es gute Gründe, den Verhaltenskodex in weitere Sprachen zu übersetzen. So wird die Bedeutung der Einhaltung des CoC durch eine Übersetzung in weitere Sprachen hervorgestrichen. Denn so fließend die Mitarbeiter die Unternehmenssprache auch sprechen mögen – jedes Dokument ist für den einzelnen Mitarbeiter ansprechender, wenn es in der eigenen Muttersprache zur Verfügung gestellt

wird. Und das Ziel des CoC besteht ja darin, die Mitarbeiter anzusprechen und sie verständlich durch bestimmte Themenbereiche zu leiten.

Bleiben Sie nicht stehen! Ihr Unternehmen entwickelt sich beständig weiter und beschäftigt sich regelmäßig mit neuen Entwicklungen, Technologien und Ansätzen? Nutzen Sie das auch für Ihren Verhaltenskodex und lassen Sie diesen sich ebenfalls mitentwickeln! Im Laufe der Jahre wird es immer wieder Themen geben, mit denen sich ein Unternehmen intensiver oder weniger intensiv beschäftigt. Bedeutende Entwicklungen und Trends werden allerdings bleiben und damit zu einer Weiterentwicklung innerhalb des Unternehmens führen. Diese Weiterentwicklung sollten Sie allerdings auch in Ihrem Verhaltenskodex festhalten und diesen entsprechend aktualisieren bzw adaptieren. Zeigen Sie den Lesern, dass Ihr Verhaltenskodex ein dynamisches Dokument ist und sich – wie das gesamte Unternehmen – weiterentwickelt.

Seien Sie innovativ! Sie sind bei der Erstellung und Ausgestaltung Ihres Verhaltenskodex absolut frei und können Ihrer Kreativität daher freien Lauf lassen. Sofern es für Ihre Unternehmenskultur passend ist, könnten Sie darüber nachdenken, die Inhalte des CoC zusätzlich als Video anzubieten. Auch Podcasts, kleine faltbare Taschenbücher oder Wandkalender wären als weitere Optionen denkbar. Derartige Formate eignen sich meistens sehr gut als „Add-on“ zur klassischen Broschüre. Allerdings müssen Sie auch hierbei darauf achten, dass das gewählte Format zu Ihrem Unternehmen und Ihrer Ausrichtung passt.

Die Autorin

MMag. Jacqueline Mlinarcsik ist bei KPMG Advisory GmbH im Bereich Compliance und Sustainability tätig. Ihre Schwerpunkte liegen auf den Themen Anti-Korruption, Kartellrecht und Vergaberecht sowie der Erstellung und Implementierung von E-Learnings zur Compliance-Sensibilisierung.

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 22

www.compliance-praxis.at

8/26/2019 6:37:10 PM

Compliance Management & Praxis Organisation

Compliance Ofﬁcer – Von der Pﬂicht zur Kür Dieser Artikel ist der subjektive Versuch des Autors, die aktuelle Situation der österreichischen Compliance Officer einzufangen. Neben einer kurzen Ist-Analyse werden Denkanstöße zur Weiterentwicklung der Funktion gegeben, von der reinen „Pflichtübung“ hin zum strategisch anerkannten Partner der Unternehmensführung.

Von Martin Schwarzbartl

Einleitung War Compliance vor einigen Jahren noch ein Modewort und für Unternehmen abseits des Banken- und Versicherungssektors relativ neu, hat das Thema in Form von Compliance-Beauftragten bzw ganzen Compliance-Abteilungen inzwischen Einzug in die mittelständischen und großen Betriebe Österreichs gehalten. Damit stellt sich die Frage, ob und wie die Compliance in den Unternehmen tatsächlich angekommen ist. Hat sich die Organisationseinheit bzw das Aufgabengebiet gut etabliert und integriert oder gibt es Verbesserungsbedarf? Hört man sich in der Compliance-Community um, kann man leicht zum Ergebnis kommen, dass durchaus noch erhebliche Entwicklungspotenziale bestehen. Die „Pflicht“, nämlich die grundsätzliche Implementierung von Compliance-Programmen ist erfolgt. Nun kommt der möglicherweise schwierigere Teil, die „Kür“. Sie besteht darin, Compliance in ein anerkanntes strategisches Leistungselement innerhalb der Organisation zu transformieren. Alle Leser, die der Meinung sind, sie hätten die Compliance-Aktivitäten in ihrem Unternehmen bereits zum finalen Reifegrad entwickelt, können diesen Artikel bereits hier beenden. Aber wer kann das wirklich von sich behaupten?

Bestandsaufnahme Im letzten Herausgebermeeting dieser Zeitschrift wurde der aktuelle Status quo der Compliance in Österreich angeregt diskutiert. Die allgemeine Conclusio war, dass durchaus noch Entwicklungspotenziale vorhanden sind – unter anderem

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 23

fiel auch die Umschreibung „FeigenblattCompliance“. Alles in allem hat mich diese Diskussion sehr nachdenklich gestimmt. Zugegebenermaßen verfestigte sich auch bei mir in den letzten Jahren der Eindruck, dass sich Compliance Officer häufig in der Rolle des Verwalters von Vorschriften positionieren, anstatt als proaktive, strategische Berater der Führungsebene aufzutreten. Zieht man das klassische Compliance-Haus mit seinen drei Kernbereichen Prävention, Früherkennung, Reaktion heran, wird der Schwerpunkt zu oft auf den rein präventiven Bereich gelegt. Überspitzt formuliert wäre die Haltung eines solchen Compliance Officers die folgende: „Ich verfasse Richtlinien und halte dazu Schulungen ab. Sollte ich um Rat gefragt werden, antworte ich eher konservativ, um ja kein Risiko einzugehen. Hinweisen aus der Wistleblowerhotline gehe ich nicht selbst nach, sondern überlasse es anderen (Revision, Personalabteilung, Externe), da Compliance ja positiv wahrgenommen werden soll.“ Ist dies der legitime Zugang zur Compliance-Funktion oder sollte die Anspruchshaltung eine andere sein? Der Leser erkennt schnell, welche Meinung ich zum Rollenbild eines Compliance Officers habe: Wer als Compliance Officer die Komfortzone nicht verlässt, genießt zwar den Vorteil eines ruhigen Arbeitslebens, darf sich aber nicht wundern, wenn Geschäftsleitung und Kollegen ihn nicht als wertschöpfenden Faktor für das Unternehmen anerkennen. Starten wir daher den Versuch, über Möglichkeiten nachzudenken, wie man die Compliance von der „Pflichtübung“

zum „strategisch anerkannten Partner“ weiterentwickeln kann.

Der mögliche Weg zum Erfolg Grundsätzliches Es gibt auch heute noch die eine oder andere Unternehmensleitung, die eine Compliance-Funktion einrichtet, ohne sich mit dem Thema Compliance wirklich anfreunden zu können. Der vielzitierte „Tone from the Top“ ist dann nicht im notwendigen Ausmaß vorhanden. In einem derartigen Unternehmen ist jeglicher Versuch, eine funktionierende Compliance aufzubauen, von vornherein zum Scheitern verurteilt. Jegliches diesbezügliche persönliche Engagement geht hier jedenfalls ins Leere. Daher kann ich nur empfehlen, in einem solchem Unternehmen die Compliance-Funktion nicht auszuüben. Die nunmehr aufgezählten Ansätze basieren ausschließlich auf persönlichen Erfahrungen und haben keine Garantie auf Erfolg (Disclaimer!).

Mögliche Erfolgsfaktoren Rollentausch Es ist immens wichtig zu verstehen, wie ein Geschäftsführer/Vorstand denkt. Daher empfehle ich gedanklich in die besagte Rolle zu schlüpfen und aus dieser Perspektive heraus das Thema Compliance zu beleuchten. Was sind die klassischen Erfolgsfaktoren, die eine Geschäftsleitung treiben? Welche Themen sind wirklich wichtig und von Bedeutung (zB Verkaufszahlen, Wachstum, Kostenminimierung)? Welchen Beitrag liefert dazu die Com-

3/2019

8/26/2019 6:37:10 PM

Praxisbezug

pliance? Erschwert oder verhindert sie vielleicht sogar das Erreichen wirtschaftlicher Ziele? Basierend auf den persönlichen Ergebnissen dieses Perspektivenwechsels lassen sich Maßnahmen und Wege ableiten, wie man eine Compliance bei der Geschäftsleitung themenspezifisch positionieren könnte. Bei der Transformation dieser Ideen in die Unternehmenswelt muss man sich im Klaren sein, dass die oberste Führungsebene in der Regel mit klassischen „Alphatieren“ besetzt ist. Diese nehmen die Entscheidungskompetenz für sich in Anspruch (auch wenn sie möglicherweise nicht entscheidungsfreudig sind).

Strategisch relevante Themen erkennen und besetzen Getrieben und gemessen werden Führungskräfte in der Regel vom bzw am geschäftlichen Erfolg. Ist bei manch anderer Overhead-Abteilung (zB Recht oder Controlling) vielleicht noch ein gewisser Mehrwert für die Geschäftsleitung ableitbar, so wird dieser bei einer ausschließlich auf präventive Themen fokussierten Compliance im Verborgenen bleiben. Unannehmlichkeiten, die man verhindert, bevor sie überhaupt eintreten, werden naturgemäß nicht als wertsteigender Beitrag verbucht. Ein wesentlicher Schlüssel zum Erfolg ist meines Erachtens die persönliche Wahrnehmung und Präsenz bei der Geschäftsleitung. Um dieser Anspruchshaltung aus der Compliance heraus gerecht werden zu können, bedarf es eines sehr proaktiven Ansatzes, der weit über die präventive Tätigkeit hinausgeht.

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 24

Gerade in der Compliance ist es notwendig und auch möglich, sich Themengebiete im Unternehmen zu suchen, die von Relevanz sind und und hohe Verbesserungspotenziale haben. Derartige Themengebiete proaktiv aufzugreifen und entsprechend zu lösen, bringt Anerkennung und Akzeptanz.

Unternehmen und Strukturen verstehen Diese Empfehlung mag zwar banal und selbstverständlich klingen, das entsprechende Wissen ist jedoch in der alltäglichen Praxis oft nicht vorhanden. Tatsache ist, dass man als Compliance Officer oft schon deshalb nicht ernst genommen wird, da man ja „vom Geschäft ohnehin nichts versteht“. Schafft man es bei seinem unternehmensinternen Gesprächspartner durch Praxisbezug und Interesse an seiner jeweiligen Tätigkeit zu punkten, erhöht sich die Wahrnehmung und das Image enorm. Damit einhergehend besteht die Notwendigkeit, fortwährend im Unternehmen aktiv unterwegs zu sein. Die Möglichkeit, das Gespräch mit den Mitarbeitern und der Führungsebene zu suchen, ergibt sich beispielsweise aus dem Thema „Compliance-Risikoanalyse“ heraus. Mit einem proaktiven Beratungsansatz bietet sich die Möglichkeit, die wirklichen Herausforderungen zu identifizieren und zu verstehen. Die Compliance-Funktion bietet die Möglichkeit, sich auf unkompliziertem Weg einen tiefgreifenden Gesamtüberblick über die Tätigkeiten des Unternehmens zu verschaffen. Ein Umstand, den man unbedingt nützen sollte und der auch für einen zukünftigen Karriereverlauf sehr hilfreich sein kann.

Der Hauptzweck eines Unternehmens ist in der Regel die erfolgreiche nachhaltige Teilnahme am wirtschaftlichen Leben, sprich Geld zu verdienen. Dieser Tatsache muss man sich insbesondere auch als Compliance Officer tagtäglich gewärtig sein. Aus diesem Faktum heraus sollte man sich als Compliance Officer jedenfalls mit dem Unternehmenszweck identifizieren können. So ist man beispielsweise als Pazifist in einem Rüstungskonzern eher nicht die Idealbesetzung in dieser Funktion. Am Geschäftsleben teilzunehmen bedeutet, laufend Risiken einzugehen. Die besondere Herausforderung eines Compliance Officers ist es, Risiken zu erkennen, zu adressieren und im Idealfall Lösungswege zu erarbeiten. Mehrwert und einen Beitrag zum Unternehmenserfolg liefert man, indem man proaktiv bei schwierigen Geschäftskonstellationen alternative, regelkonforme Konzepte erarbeitet. Dass dies oft nicht einfach ist, ist selbstredend. Und gerade deshalb ist dieser Ansatz wichtig. Compliance muss natürlich aber auch den Mut haben, bei Geschäftsfällen, wo ohne regelkonformes Verhalten kein Erfolg zu erzielen ist, eine entsprechend klare Position einzunehmen. Basierend auf meinen persönlichen Erfahrungswerten war es möglich, in über 95% der an mich herangetragenen Fälle alternative Wege zu erarbeiten, um die angestrebten Geschäfte doch abwickeln zu können. Der wirkliche steinige und harte Weg waren die verbliebenen 5%. Es bedarf einer harten Haut und etwas Durchhaltevermögen, bis erfolgsgetriebene Manager zu überzeugen sind, dass manche Dinge einfach rechtlich nicht darstellbar sind. Man erhöht in diesen Fällen zwar kurzfristig nicht seinen Beliebtheitsfaktor, erarbeitet sich jedoch mittel- bis langfristig den notwendigen Respekt und Anerkennung.

Verständliche, klare Kommunikation Ich habe in meiner langjährigen Praxis leider zu oft erlebt, dass simple Anfragen einfacher Mitarbeiter (zB „Darf ich diese

www.compliance-praxis.at

8/26/2019 6:37:10 PM

Compliance Management & Praxis Organisation

Einladung annehmen?“) in einer mehrseitigen juristisch ausgefinkelten Antwort abgearbeitet werden. So eine Antwort mag zwar formaljuristisch sauber sein und den Ersteller vor dem Vorwurf der Falschberatung schützen, dem Empfänger hilft sie in der Regel aber nicht weiter. Antworten sind themenspezifisch und Adressatenbezogen einfach zu halten. Ein klares „ja“ oder „nein“ und eine kurze unprätentiöse Begründung bzw ein Alternativvorschlag, wie es gehen könnte, bringen dem Empfänger einen tatsächlichen Mehrwert.

Elevator Speech Als „Elevator Speech“ (deutsch: Fahrstuhlpräsentation) wird die kurze (nur den Zeitraum einer Fahrstuhlfahrt dauernde), überzeugende Darstellung einer Idee bezeichnet. Trainings für derartige Situationen hielt ich zu Beginn meiner beruflichen Laufbahn für überflüssig, da mir das Szenario einfach unrealistisch und völlig praxisfern erschien. Ich habe meine Meinung zur Notwendigkeit, jederzeit eine Elevator Speech abliefern zu können, dramatisch geändert. Zwischenzeitlich hatte ich unzählige Situationen (nicht zwangsweise im Lift), in denen ich in einem sehr begrenzten Zeitraum (oft innerhalb von 15 bis 20 Sekunden) kritische Themenstellungen punktgenau adressieren musste. Dies ist schon deshalb eine immense Herausforderung, weil es zwangsläufig bedeutet, auch bewusst Informationsverluste in Kauf zu nehmen. Für jeden gelernten Juristen aber auch Betriebswirt ein wahrer Albtraum. Hier braucht es den Mut zur Lücke. Versetzen wir uns – wie bereits weiter oben ausgeführt – in die Situation eines Vorstandes, der am Tag unzählige Termine mit einer entsprechenden Informationsflut hat. Wenn man es nicht schafft,

wesentliche Informationen kompakt zu kommunizieren und sich stattdessen in minutenlangen Vorträgen verliert, hat man letztlich nichts kommuniziert. Das Gegenüber konnte und wollte die Information nicht mehr aufnehmen. Klare, prägnante Ansagen mit klaren, prägnanten Lösungsideen sind der Weg zum Erfolg. Dies gilt meines Erachtens selbstredend nicht nur für das gesprochene Wort, sondern auch für die schriftliche Kommunikation, insbesondere E-Mails. Seitenlange Schriftsätze bergen das hohe Risiko in sich, schlichtweg nicht gelesen zu werden. Ich kann nur dringend empfehlen, sich die Fähigkeit und den Mut zur kompakten, prägnanten Kommunikation anzueignen und diese auch entsprechend zu nützen. Für alle „Absicherungsfanatiker“ sei der Hinweis erlaubt, dass man die ausführlichen juristischen Abhandlungen auch als Anhang der prägnanten Zusammenfassung mitsenden kann.

Es sei an dieser Stelle jedoch die Wahrung ausgesprochen, dass die Befassung mit diesen Themenstellungen auch mit einem hohen Risiko verbunden ist. Die unternehmensinterne Fehlertoleranz liegt hier in der Regel bei null. Demgemäß sind hier starke Nerven und eine sehr hohe Professionalität gefragt. Liefert man hier hochwertige Ergebnisse, seien sie noch so unangenehm, erwirbt man sich hohe Akzeptanz und das Vertrauen der obersten Führungsebene. Und ebendieses Vertrauen ist das wichtigste Asset eines Compliance Officers. Nur mit diesem Vertrauen ausgestattet wird man in der Lage sein, notwendige Themenstellungen der Compliance, welche für die Geschäftsleitung von untergeordneter Bedeutung sein mögen (zB Mitarbeiterschulungen, Risikoanalysen) voranzutreiben und durchzusetzen. Diese Themengebiete des Compliance-Hauses sind es jedoch, die den tatsächlichen Erfolg und Mehrwert einer ComplianceOrganisation ausmachen.

Die unangenehmen Themen des Unternehmensalltags

Conclusio

Es mag zwar befremdlich klingen, aber gerade die rechtlich kritischen Themen können entscheidend zum Erfolg der Compliance-Abteilung beitragen. Ich kann nur jedem Compliance Officer wärmstens empfehlen, sich insbesondere den wirklich unangenehmen Vorkommnissen wie beispielsweise Mitarbeiterbetrug, Kartellrechtsverletzungen, Strafverfahren gegen das Unternehmen intensiv zu widmen. Bei diesen Themenstellungen ist der Aufmerksamkeitslevel in den Führungsetagen in der Regel sehr hoch. So unangenehm und unbeliebt diese Themen auch sein mögen, sie sind von besonderer Relevanz und haben ein hohes Potenzial, den Mehrwert einer Compliance sichtbar zu machen.

Will man seine Compliance-Funktion mit Engagement und Empathie ausleben, so liegt es an einem selbst, was man daraus macht. Keinesfalls sollte man die Geschäftsleitung dafür verantwortlich machen, wenn man sich im Unternehmen nicht gut durchsetzen kann. Auch für die Compliance besteht die Notwendigkeit, einen positiven Mehrwert für das Unternehmen zu liefern. Selbstverständlich muss man jeden Tag aufs Neue unter Beweis stellen, dass die ausgeübte Tätigkeit wichtig und notwendig ist. Es gibt unzählige Möglichkeiten, sich in einem Unternehmen als Compliance Officer zu positionieren. Der tägliche Weg aus der eigenen Komfortzone heraus gepaart mit dem notwendigen Engagement ist der Weg zum Erfolg.

Der Autor

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 25

Martin Schwarzbartl begann seine beruﬂiche Laufbahn 1993 als Steuerfahnder in der Finanzverwaltung und baute ab 2003 mit eine Compliance-Organisation im Finanzministerium auf. Ab 2006 war Schwarzbartl bei EY tätig, zuletzt als Geschäftsführer Fraud Investigation & Dispute, Compliance Services. 2012 wechselte er als Chief Compliance Ofﬁcer zur ÖBB. Seit 2017 ist er für die Novomatic AG tätigt und trägt die konzernweite Verantwortung für den Bereich Group Compliance, Internal Audit und Risk Management.

3/2019

8/26/2019 6:37:12 PM

Im Brennpunkt: Cybercrime

Das „digitale Vermummungsverbot“ im Compliance-Check Als Reaktion auf „Hasspostings“ in Foren und Sozialen Netzwerken wurde im Frühjahr der als „digitales Vermummungsverbot“ bezeichnete Gesetzesentwurf in Begutachtung geschickt. Durch die Registrierung von Nutzern in Online-Foren soll das „Internet nicht länger ein rechtsfreier Raum sein“. Seit seiner Veröffentlichung wurde der Gesetzentwurf in den Medien stark diskutiert. Seine erwarteten positiven Auswirkungen und die Vereinbarkeit mit geltendem Recht wurden erheblich angezweifelt. Grund genug, den Gesetzesentwurf einem Compliance-Check zu unterziehen.

Von Andreas Schütz | Jürgen Pölzl

Ein Internetforum ist ein virtueller Platz, der zum Austausch, zur Verbreitung und zur Archivierung von Gedanken, Meinungen und Sichtweisen dient. Es bietet die Möglichkeit, zu einem bestimmten Thema Diskussionsbeiträge selbst zu verfassen, diese zu lesen und beantworten zu können. Unter einem solchen Forum sind auch Soziale Netzwerke (Facebook, Twitter & Co) zu verstehen, die die Möglichkeit zum Meinungsaustausch bieten. Will man künftig in einem der genannten Kommunikationskanäle seine Meinung äußern, ist dies nur nach vorheriger Prüfung der Kontaktdaten des Nutzers (Vorname und Familienname bzw Adresse) durch den Netzwerkbetreiber möglich. Um die Personen im Anlassfall (etwa bei Herabwürdigungen, Demütigungen und Übergriffen) wirksam identifizieren zu können, ist eine solche Authentifizierung von Nutzerdaten jedenfalls erforderlich – so die Erläuterung zum neuen Gesetz über Sorgfalt und Verantwortung im Netz.

Stand des Gesetzgebungsverfahrens Fraglich ist, ob diese Regierungsvorlage auch in der neuen Legislaturperiode genügend politische Unterstützung erfährt. Im Hinblick auf den Regelungsinhalt dient der Gesetzgebungsvorschlag zwar nicht der Umsetzung von Unionsrecht, fällt aber in dessen Kernbereich und ist somit im Vorhinein von der Kommission zu notifizieren. Gemäß der RL (EU) 2015/1535 sind die Mitgliedstaaten verpflichtet, über jeden Entwurf einer technischen Vorschrift zu einem

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 26

Dienst der Informationsgesellschaft die Kommission zu unterrichten. Gleichzeitig haben die Mitgliedstaaten eine dreimonatige „Stillhaltefrist“ einzuhalten, in der sich sowohl die Kommission als auch die einzelnen Mitgliedstaaten zu dem geplanten Gesetz äußern können. Aufgrund der in den Medien vielfach kritisierten Verstöße gegen nationale als auch unionsrechtliche Normen bleibt abzuwarten, wie sich die Kommission bzw die Mitgliedstaaten zum Gesetzesentwurf äußern. Gegen einen Einwand spricht jedoch das bereits in Kraft getretene deutsche Netzwerkdurchsetzungsgesetz, das eine vergleichbare Materie regelt und von der Kommission bereits notifiziert wurde.

Welche Änderungen sind durch den Gesetzesentwurf zu erwarten? Pflicht zur Registrierung und Authentifizierung Die (versuchte) Regulierung der digitalen Welt ist kein neues bzw österreichisches Phänomen. Ziel des deutschen Nezwerkdurchsetzungsgesetzes ist die Bekämpfung von „Hasskriminalität“ und die Veränderung der Debattenkultur im sozialen Netzwerk. Es verpflichtet den Netzwerkbetreiber, einen Bericht über den Umgang mit Beschwerden über rechtswidrige Inhalte zu erstellen bzw ein wirksames Beschwerdemanagement zu betreiben, in dem die dafür zuständige Person, ein sogenannter Zustellungsbevollmächtigter, auf Antrag eines Nutzers

„offenkundig rechtswidrige“ Beiträge innerhalb von 24 Stunden zu löschen hat. „Was in der analogen Welt geahndet wird, muss auch in der digitalen Welt Folgen haben“ – so das Motto des österreichischen Gestzesentwurfs. Eine gewisse Meinung zu haben und sie zu äußern wird künftig nur mehr für Nutzer möglich sein, die bereit sind, ihre Identität komplett offenzulegen. Für Dienste der Informationsgesellschaft sieht der Gesetzesentwurf in erster Linie eine Registrierungs- und Authentifizierungspflicht vor. Die Verpflichtung soll jedoch erst ab Erreichen einer relevanten Größe greifen: Diese bestimmt sich nach Umsatz (500.000 Euro in Österreich), Anzahl registrierter Nutzer (mehr als 100.000) bzw danach, ob Fördermittel (in Höhe von mehr als 50.000 Euro; Spezialregelung für verbundene Diensteanbieter) im vorangegangenen oder aktuellen Kalenderjahr gewährt wurden. Von der Pflicht sind nicht nur inländische, sondern auch ausländische Anbieter, unabhängig vom Sitz des Unternehmens, betroffen, soweit sie eine solche Plattform – regelmäßig gegen Entgelt – auch für das österreichische Publikum betreiben. Ist ein klarer Konnex zu Österreich gegeben, hat der Plattformbetreiber sicherzustellen, dass Nutzer nur nach erfolgreicher Registrierung Inhalte veröffentlichen dürfen und dass der Nachweis der Identität durch Dokumente, Daten und Informationen von einer glaubwürdigen und unabhängigen Stelle erbracht wird. Die genaue Ausgestaltung der Identitätsprüfung wird hingegen den Plattformbetreibern überlassen.

www.compliance-praxis.at

8/26/2019 6:37:13 PM

Compliance Recht &

Praxis Haftung

Die Erläuternden Bemerkungen zum Gesetzesentwurf sehen zur Bestätigung der angegebenen Daten durch den Nutzer eine 2-Faktoren-Authentifizierung mit Mobiltelefonnummer vor. Außerdem käme eine Kooperation mit dem Mobilfunkanbieter in Betracht, der bei begründetem Zweifel die Daten zur Verfügung stellen könnte. Problematisch erscheint dabei die tatsächliche Umsetzbarkeit der Technologie im Hinblick auf Prepaid-Karten, die anonym gekauft werden können und nach aufgebrauchtem Guthaben verwerfbar sind. Auch die Frage der Registrierung von nicht-österreichischen Nutzern mit ausländischen Telefonnummern wirft Probleme auf. Der Diensteanbieter ist ferner zur Feststellung von Inaktivitäten und zur Hinterfragung der Richtigkeit von Daten verpflichtet. Bei einem begründeten Verdacht, dass die Registrierungsangaben des Nutzers unrichtig sind oder mit der Zeit unrichtig geworden sind, hat der Plattformbetreiber den Nutzer zum Nachweis der Richtigkeit seiner Angaben aufzufordern. Nutzer werden zwar verpflichtet, ihre Dokumente, Daten und Informationen zu hinterlegen, dies dient jedoch nur der Identifizierung durch den Netzwerkbetreiber. Eine Pflicht zur Verfassung von Beiträgen unter eigenem Namen („Klarnamenpflicht“) sieht der Gesetzesentwurf weiterhin nicht vor. Die Anonymität bleibt grundsätzlich im Netz erhalten, indem die registrierten Nutzer unter einem selbstgewählten Pseudonym Beiträge posten dürfen.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 27

Pflicht zur Übermittlung der Daten Die im Gesetzesentwurf erläuterten Übermittlungspflichten bilden den wirklichen Mehrwert der Regelung. Im Vergleich zu geltendem Recht besteht (neben Gerichten und Staatsanwaltschaften) die Möglichkeit auch für Dritte, in Form einer Privatanklage bei privatrechtlichen Ansprüchen gegen die „Verletzung der Ehre“ vorzugehen. Dritte, die sich in ihrer Ehre verletzt fühlen, müssen durch ein begründetes schriftliches Verlangen die Übermittlung der Identitätsdaten des Posters beantragen. Dies bedeutet, dass die dritte Person lediglich glaubhaft machen soll, klagen zu wollen; eine inhaltliche Prüfung, ob der Beitrag tatsächlich ein relevantes rechtliches Delikt darstellt, wird hingegen nicht eindeutig verlangt. Es steht also die subjektive Wahrnehmung des Dritten im Mittelpunkt. Der Diensteanbieter darf jedoch laut den Erläuterungen die gesammelten personenbezogenen Daten nur in gewissen, sachlich begründeten Fällen weitergeben. Anhand welcher Kriterien eine allfällige Ausgabe von Daten erfolgen soll, wird im Gesetzentwurf nicht näher geregelt.

Haftung für Außerachtlassung der Verpflichtungen Als Aufsichtsbehörde für die Einhaltung der Vorschriften des geplanten Gesetzes soll die Kommunikationsbehörde Austria dienen, die gegenüber dem Diensteanbieter zur Verhängung von Geldbußen bis zu

500.000 Euro bzw bei einem wiederholten Vergehen bis zu 1 Mio Euro berechtigt ist. Außerdem kann der zwingend zu bestellende verantwortliche Beauftragte, dem die Verantwortung für die auf das Inland bezogene Tätigkeit obliegt, zur Haftung herangezogen werden. Er wird bestellt, um die Erreichbarkeit des Diensteanbieters bzw Einhaltung der Vorschriften sicherzustellen und gilt zudem als Zustellungsbevollmächtigter. Es ist jedoch, wenn für alle zur Verfügung stehende Mittel zur Überprüfung der Identität gesorgt wurde, eine Haftungsfreistellung sowohl für den Diensteanbieter als auch für den verantwortlichen Beauftragten vorgesehen.

Problembereiche des Gesetzes Analog zum deutschen Netzwerkdurchsetzungsgesetz hat der österreichische Gesetzesentwurf für große Kritik gesorgt. Unter anderem wurde die Vereinbarkeit mit der Datenschutzgrundverordnung, dem verfassungsrechtlich gewährleisteten Recht auf die Meinungsfreiheit und dem E-Commerce-Gesetz in Frage gestellt. Im Folgenden soll auf diese Problembereiche näher eingegangen werden.

Vereinbarkeit mit Datenschutzgrundverordnung (DSGVO) Online-Diensteanbieter sind gemäß Gesetzesentwurf dazu verpflichtet, von jedem Poster die Erstellung eines Registrierungsprofils, bestehend aus Vor- und

3/2019

8/26/2019 6:37:13 PM

Nachname bzw Adresse, zur Identifizierung zu verlangen. Sie haben weiters dafür zu sorgen, dass die zur Authentisierung dienenden Dokumente, Informationen und Daten von einer glaubwürdigen Stelle stammen. Aufgrund dieser Pflichten ist aber ein massiver Eingriff in den Anwendungsbereich der Datenschutzgrundverordnung und in das verfassungsrechtlich gewährleistete Grundrecht auf Schutz personenbezogener Daten zu befürchten. Artikel 5 der Datenschutzgrundverordnung legt den Grundsatz der Datenminimierung fest, der vom Gesetzesentwurf vollkommen außer Acht gelassen wird. Dieser sieht vor, dass Namen und Adressen der Nutzer zwecks Beschleunigung des Tätigwerdens im Fall einer Rechtsverletzung vorsorglich und generell erfasst und gespeichert werden sollen. Eine solche allgemeine und anlasslose Datensammlung ist jedoch weder mit dem Grundsatz der Datenminimierung noch mit der ständigen Rechtsprechung des Europäischen Gerichtshofes und des österreichischen Verfassungsgerichtshofes zur Vorratsdatenspeicherung vereinbar (EuGH 8. 4. 2014, C-293/12 und C-594/12 bzw VfGH 28. 11. 2012, G 47/12). Im Fall des Gesetzesentwurfes kann man zweifelsfrei nicht von einer Datenminimierung sprechen, da die Beschränkung auf das notwendige Maß zur Erreichung des Zwecks deutlich überschritten würde. Je mehr Daten gesammelt werden, desto größer ist die Gefahr, dass sie in falsche Hände geraten und missbraucht werden. Ein Beispiel ist Südkorea. Ein ähnliches Gesetz wurde eingeführt, hat jedoch weder die Anzahl der Hasspostings reduziert, noch wurden die Daten entsprechend aufbewahrt. Die von den Nutzern gespeicherten Daten auf Servern von Online-Medien wurden Gegenstand eines Hackerangriffs: Es gelangten mehrere Millionen Datensätze in die Hände Unbefugter. Zwar werden die Daten der Nutzer nach erfolgreicher Identifizierung unverzüglich gelöscht und es wird somit offenkundig den datenschutzrechtlichen Erfordernissen Genüge getan. Die zwischenzeitige Missbrauchsmöglichkeit der Daten stellt aber ein erhebliches Risiko sowohl für die Nut-

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 28

zer aus Sicht der Geheimhaltung der personenbezogenen Daten als auch für die Diensteanbieter aufgrund der hohen Strafandrohung dar. Wie die Daten vor Missbrauchsrisiken geschützt werden sollen, wird in der Erläuterung nicht näher behandelt. Anzumerken ist außerdem die im Gesetzesentwurf vorgesehene Verpflichtung des Diensteanbieters zur Weitergabe der Daten an Dritte im Falle eines begründeten schriftlichen Verlangens. Dabei wird lediglich auf die subjektive Einschätzung eines Dritten, der sich an der Ehre verletzt fühlt, abgestellt. Er muss nur glaubhaft machen, dass er beabsichtigt, gegen den Nutzer eine Privatanklage einzubringen; auf eine inhaltliche Überprüfung, ob der Beitrag zur Strafverfolgung geeignet ist, wird hingegen verzichtet. Dies bildet einen weiteren Problembereich des Gesetzesentwurfs, da eine einfache Möglichkeit zum Erlangen von personenbezogenen Daten ohne besondere Begründung künftig möglich wird.

Vereinbarkeit mit E-CommerceGesetz (ECG) Auch die mangelnde Vereinbarkeit mit dem E-Commerce-Gesetz bzw die Europarechtswidrigkeit mit dessen europarechtlicher Grundlage, der E-Commerce Richtlinie, verdient nähere Betrachtung. Zum Schutz der Dienstleistungsfreiheit wird im § 20 ECG (Artikel 3 der Richtlinie über den elektronischen Geschäftsverkehr) das sogenannte Herkunftslandprinzip normiert: Dieses besagt, dass Online-Diensteanbieter nur den rechtlichen Bestimmungen ihres jeweiligen Herkunftslandes unterliegen. Auch die Aufsicht über die Dienste der Informationsgesellschaft soll in jenem Mitgliedstaat erfolgen, in dem der Diensteanbieter niedergelassen ist. Eine Unterscheidung zwischen rechtlichen Anforderungen des privaten und des öffentlichen Rechts ist nicht vorgesehen; es werden alle Rechtsvorschriften des jeweiligen Mitgliedstaates erfasst. Strengere Anforderungen für Diensteanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, dürfen nur in Ausnahmefällen und nur unter engen Voraussetzungen vorgenommen werden.

Der Wortlaut des Gesetzesentwurfs erfasst nicht nur österreichische, sondern auch ausländische Online-Diensteanbieter, sofern sie einen klaren Konnex (etwa Inhalt, Zielgruppe und Sprache der Plattform) zu Österreich aufweisen. Wird also von einem Online-Diensteanbieter ein Forum geschaffen, das auf den österreichischen Markt abzielt, unterliegt er den Vorschriften des vorliegenden Entwurfs. Dies könnte jedoch als ein Widerspruch zum Herkunftslandprinzip gesehen werden. Ausländische Diensteanbieter wären verpflichtet, nicht nur die rechtlichen Anforderungen des Herkunftslandes, sondern auch jene des Niederlassungsstaates zu beachten und zu befolgen. Es ist jedoch anzumerken, dass eine effiziente Möglichkeit zur weltweiten Rechtsdurchsetzung äußerst fraglich ist.

Vereinbarkeit mit Meinungsfreiheit Sowohl die Grundrechtecharta (Artikel 11) als auch die Europäische Menschenrechtskonvention (Artikel 10) normieren das Recht zur Wahrung der freien Meinungsäußerung. Vom Grundrecht ist sowohl die Meinungsfreiheit als solche als auch die Freiheit erfasst, Informationen und Ideen ohne staatliche Eingriffe zu empfangen und weitergeben zu dürfen. Gemäß Entwurf für das Gesetz über Sorgfalt und Verantwortung im Netz kann ein Nutzer seine Meinung erst nach erfolgreicher Erstellung eines Registrierungsprofils kundtun. Durch die Bedrohung der Überwachung ist eine deutliche Reduktion der Teilnahme an öffentlichen Diskussionen zu erwarten, da die Gefahr besteht, sich zB aufgrund von politischen Ansichten, religiösen Überzeugungen oder sexueller Orientierung gegenüber der Öffentlichkeit preisgeben zu müssen. Daraus folgt, dass grundsätzlich auch die anonyme Meinungsfreiheit vom Anwendungsbereich des Grundrechts erfasst ist, da dies erst den Nutzern ermöglicht, ihre Meinung ohne Angst vor Nachteilen zu äußern (vgl EGMR 10. 10. 2013, 64569/09, Delfi AS/Estland). Fraglich bleibt außerdem die Verhältnismäßigkeit der Regelungen: Nach ständi-

www.compliance-praxis.at

8/26/2019 6:37:14 PM

Compliance Recht &

Praxis Haftung

ger Rechtsprechung des EuGH stellt eine pauschale und ausnahmslos sämtliche Personen betreffende Verpflichtung zur Registrierung für die Nutzung von elektronischen Kommunikationsdiensten nicht das gelindeste Mittel dar und kann in einer demokratischen Gesellschaft nicht gerechtfertigt werden, wenn keinerlei Anhaltspunkte für eine Strafverfolgung vorliegen (21. 12. 2016, C-203/15 und C-698/15).

Resümee Bei der Zielsetzung des Gesetzesentwurfes, nämlich gegen anonyme Hasspostings vorgehen zu wollen, wird ein wichtiger Punkt übersehen: Eine Mehrzahl der Beiträge werden ohnehin bereits unter Klarnamen verfasst, um die Aussagekraft und die Glaubwürdigkeit des Beitrags zu erhöhen. Das Problem liegt

somit nicht bei der fehlenden Regulierung von Onlineforen oder der Identifizierung des Nutzers, sondern daran, dass es an einer effektive Rechtsdurchsetzung mangelt. Zwar sind wirksame Maßnahmen bei der Verbesserung von Strafverfolgung und der Bekämpfung von Gewalt im Netz selbstverständlich erforderlich, nationale und europäische Vorgaben dürfen jedoch nicht außer Acht gelassen werden.

RA Mag. Andreas Schütz, LL.M. (links im Bild) ist Partner und Leiter des Datenschutzteams bei Taylor Wessing CEE. Er hat jahrelange Erfahrung in der Beratung nationaler wie internationaler Klienten in allen Bereichen bezüglich Datenschutz und -sicherheit (einschließlich DSGVO). Als Mitglied des IP/IT-Teams ist er ebenso auf die Bereiche Copyright & Media Law, Wettbewerbsrecht, IT & Telecoms sowie öffentliches Wirtschaftsrecht spezialisiert.

Die Autoren

RAA Mag. Jürgen Pölzl, MBA (rechts im Bild) ist Associate im IP/IT-Team von Taylor Wessing in Wien. Er unterstützt in der Beratung von nationalen und internationalen Klienten in allen Bereichen des Immaterialgüterrechts, der Informationstechnologie und des Datenschutzrechts. Jürgen Pölzl hat einen Fokus auf das Medien- und Urheberrecht sowie E-Commerce und IT-Verträge.

ǨǮȦ Ȭ ǨǯȦɉsūǄĚŞċĚƑ ǨǦǧǯ Jahresforum | Rust ċƭƙĿŠĚƙƙČĿƑČŕĚȦîƥȬČūŞƎŕĿîŠČĚŠūǅ

9. Jahresforum für Compliance Praktiker & Experten

Compliance now! ÀƎēîƥĚ ʁ îŒƥƭĚŕŕĚ /ŠƥǅĿČŒŕƭŠĳĚŠ ĿŠ ƙƥĚƑƑĚĿČĺ ƭŠē ĿŠƥĚƑŠîƥĿūŠîŕ ¹îƭƙČĺĚŠ ¬ĿĚ ƙĿČĺ ŞĿƥ eūŕŕĚĳĚŠ îƭƙ ƭŠē ĚƑǅĚĿƥĚƑŠ ¬ĿĚ TĺƑ sĚƥǕǅĚƑŒ ĿŠŠĚƑĺîŕċ ēĚƑ ūŞƎŕĿîŠČĚȹ ūŞŞƭŠĿƥǋ

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 29

3/2019

8/26/2019 6:37:14 PM

IDD – ein Jahr danach Die im Februar 2016 in Kraft getretene Versicherungsvertriebsrichtlinie (Insurance Distribution Directive – IDD) ist für Versicherungsunternehmen am 1. Oktober 2018 in Kraft getreten und hat alle Betroffenen intensiv beschäftigt und für Verunsicherung in der gesamten Branche gesorgt. Fast ein Jahr später sind die österreichischen Versicherer und Versicherungsvermittler noch immer von den Herausforderungen der Umsetzung betroffen. Hier eine Bilanz über zurückgelegte Meilensteine und ein Ausblick auf noch zu bewältigende Hürden bei der Umsetzung der regulatorischen Vorgaben.

Von Klaus Jarosch | Birgit Wastl

In den letzten vier Jahre hat das Thema IDD die gesamte Versicherungswirtschaft ordentlich auf Trab gehalten, hat quer durch alle Bereiche vor allem bei Juristen, Compliance-Verantwortlichen, dem Vertrieb, den Produktentwicklern und den Personalabteilungen, aber auch bei selbstständigen Versicherungsvermittlern viele Fragen aufgeworfen und insgesamt für tiefgreifende Veränderungen des österreichischen Vermittlerrechtes gesorgt, dessen konkrete Auswirkungen jetzt noch immer nicht für alle Betroffenen abschätzbar sind. Im Folgenden wird versucht, auf die wesentlichsten Probleme und Herausforderungen bei der Umsetzung einzugehen. Kehren wir zunächst einmal zurück zur rechtlichen Grundlage all dieser Neuerungen rund ums Versicherungsvermittlerrecht: Mit der Insurance Distribution Directive IDD beabsichtigte der europäische Gesetzgeber die Verbesserung der Qualität des Versicherungsvertriebs, ähnlich wie mit MiFID II im Bereich des Wertpapierhandels. Mehrere grundlegende Änderungen der bestehenden Rechtslage waren damit verbunden, wie etwa die Erweiterung des sachlichen Anwendungsbereichs der Richtlinie. Die Richtlinie findet nämlich auf jede Form des (Erst- bzw Rück-) Versicherungsvertriebs Anwendung und erfasst damit insbesondere auch den Direktvertrieb durch die Versicherungsunternehmen, also durch angestellte Versicherungsvermittler. In der Richtlinie findet sich daher parallel zum bisher bekannten Begriff „Versicherungsvermittler“ auch die Begrifflichkeit und Definition des „Versicherungsvertreibers“.

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 30

Überblick über den Regelungsinhalt der IDD Das Ziel der Richtlinie einer Verbesserung der Beratungsqualität wird durch weitreichende Änderungen des Verkaufsprozesses, wie zB umfassende Informationspflichten, einen verpflichtenden Wünsche- und Bedürfnistest vor Abgabe der Vertragserklärung des Kunden sowie zusätzliche Anforderungen an die Dokumentation des Beratungsablaufs erreicht. Dem Kunden müssen standardisierte Produktinformationsblätter ausgehändigt werden, die die wichtigsten Informationen wie Deckungsumfang, Laufzeit, Prämienzahlung etc enthalten. Bereits bei der Gestaltung neuer Versicherungsprodukte werden nun konkrete organisatorische Maßnahmen, Prozesse und Entscheidungsabläufe gefordert sowie unternehmensinterne Verfahren und Kontrollen im Bereich des Designs, der Entwicklung und der unternehmensinternen Freigabe von Produkten notwendig. Neu ist auch die Definition von Zielmärkten, wonach festzulegen ist, welche Produkte an welche Gruppen von Personen verkauft werden sollen. Hinsichtlich der Vergütung konnte ein im Raum stehendes generelles Provisionsverbot letztendlich abgewendet werden und es ist bei dem in Österreich bewährten System des provisionsbasierten Versicherungsvertriebes geblieben. Die Vergütung von Versicherungsvermittlern darf nicht zu Fehlanreizen führen, und der Vermittler nicht an der Pflicht gehindert werden, im bestmöglichen Interesse der Versicherungsnehmer zu handeln. Dies machte die Überarbeitung der Vergütungssysteme der Versicherer notwendig, um sicherzustellen, dass dabei nicht ausschließlich quantita-

tive Kriterien, sondern auch qualitative Kriterien hinsichtlich der Vermittler berücksichtigt werden. Speziell an den Vertrieb von Lebensversicherungen wurden spezielle Anforderungen zur Erkennung, Vermeidung und Regelung von Interessenkonflikten gestellt, um zu verhindern, dass derartige Interessenkonflikte den Interessen der Versicherungsnehmer und Anspruchsberechtigten schaden. Diese können bis zu einer möglichen Offenlegungsverpflichtung von unvermeidbaren Interessenkonflikten gegenüber dem Versicherungsnehmer reichen. Zu guter Letzt soll die Qualität des Versicherungsvertriebes durch die Definition von beruflichen und organisatorischen Anforderungen an die Aus- und Weiterbildung sichergestellt werden. Diese Anforderungen richten sich nicht nur an die direkt in den Versicherungsvertrieb involvierten Versicherungsvermittler, sondern auch an alle in leitender Funktion am Versicherungsvertrieb mitwirkenden Personen. Für Versicherungsunternehmen bedeutet das, dass neben Außendienstmitarbeitern auch die für den Versicherungsvertrieb verantwortlichen Vorstandsmitglieder, die Vertriebsleiter, Landesdirektoren und Gebietsleiter hinsichtlich ihrer Qualifikation und regelmäßigen Weiterbildung zu prüfen sind. Grundsätzlich besteht in Österreich bereits aufgrund der von der Bildungsakademie der Österreichischen Versicherungswirtschaft durchgeführten Prüfungen (BÖV-Prüfungen) für den Versicherungsaußendienst bzw der hochwertigen Maklerausbildung ein hoher Ausbildungsstand der Makler, Agenten und Außendienstmitarbeiter. Die nun bestehende Weiterbildungsverpflichtung von 15 Stunden im Jahr wird daher grundsätzlich für alle Berufsgruppen zu

www.compliance-praxis.at

8/26/2019 6:37:15 PM

Compliance Recht &

Praxis Haftung

bewältigen sein. Eine Herausforderung ist jedenfalls die Sicherstellung der Dokumentation regelmäßiger Fortbildung für einen insgesamt sehr großen Personenkreis. Durch eine in den Versicherungshäusern einzurichtende Vertriebsfunktion soll die Erfüllung der Ansprüche an die Aus- und Weiterbildung regelmäßig überwacht und sichergestellt werden.

Probleme bei der Umsetzung So weit, so gut. Diese vom europäischen Gesetzgeber festgelegten Eckpunkte zur Steigerung der Qualität des Versicherungsvertriebes wurden im Prinzip von allen Beteiligten begrüßt. Wirklich große Probleme bereitete die mit Verspätung erfolgte Umsetzung der IDD in nationales Recht. Als EU-Richtlinie sah die IDD eine zweijährige Umsetzungsfrist vor und überließ als Rahmenrichtlinie wesentliche Punkte der inhaltlichen Ausgestaltung sogenannten delegierten Rechtsakten. Auch wenn diese sogenannten Level II-Maßnahmen tatsächlich komplexe Themenstellungen beinhalteten, wurden sie leider sehr spät finalisiert. Das hat letztlich dazu geführt, dass die Umsetzungsfrist für die IDD auf den 1. 10. 2018 verschoben wurde. Österreich hat dieser Vorgabe mit der Verabschiedung des Vertriebsrechts-Änderungsgesetzes nur zum Teil entsprochen, da damit durch Änderungen des Versicherungsaufsichtsgesetzes (VAG) und des Versicherungsvertragsgesetzes (VersVG) lediglich die Vorgaben für Versicherungsunternehmen mit 1. 10. 2018 in Kraft gesetzt wurden. Die Änderungen für die selbständigen Versicherungsvermittler in der Gewerbeordnung waren zu diesem Zeitpunkt aber noch ausständig. Auch wenn das Versäumnis mittlerweile mit dem Inkrafttreten der Versicherungsvermittlungsnovelle per 29. 1. 2019, den am 17. 6. 2019 kundgemachten Standesregeln und den am 11. 7. 2019 veröffentlichten Lehrplänen zur Weiterbildungspflicht behoben wurde, hatten diese Verzögerungen bei der nationalen Umsetzung sowie das nicht gleichzeitige Inkrafttreten der Anforderungen für Versicherungsunternehmen und Versicherungsvermittler erhebliche Probleme bereitet.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 31

Erfahrungen und Ausblick Was sind nun die Lessons Learned bzw die nach wie vor zu bewältigenden Hausübungen? Im Folgenden wird auf diejenigen Neuerungen durch die IDD eingegangen, die die Betroffenen nach einem Jahr noch immer beschäftigen und an denen die Compliance-Verantwortlichen in den Versicherungsunternehmen nicht vorbeikommen.

Produktaufsicht und Produktlenkung Gemäß den bestehenden Rechtsgrundlagen1 sind im Produktentwicklungsprozess, der in einer internen Unternehmensleitlinie schriftlich festzuhalten ist, klar die Verantwortlichkeiten für die Festlegung, Konzeption, Dokumentation und Abnahme der Prozesse zu definieren (Produkt-Governance). Es ist ein Zielmarkt für das zu konzipierende Versicherungsprodukt zu definieren, wobei Parameter wie Gesamtrisikosituation, Alter, Beschäftigung, Veranlagungsziel etc geprüft werden. Weiters ist eine Produktprüfung in Hinblick auf mögliche Kundenschädigungen sowie eine laufende Produktüberwachung sicherzustellen. Auch eine Festlegung des geeigneten Vertriebskanals hat zu erfolgen; hierbei ist darauf zu achten, dass die Vertriebsaktivitäten im Einklang mit Zielen des Produktgenehmigungsprozesses stehen und die Produkte am identifizierten Zielmarkt vertrieben werden. Nicht zu vergessen sind auch die Anforderungen an die stets erforderliche Dokumentation.

3URGXNW (QWZLFNOXQJ

3URGXNW 0RQLWRULQJ

3URGXNW *RYHUQDQFH

9HUWULHEV 6WUDWHJLH .DQlOH

9HUNDXIV %HUDWXQJVSUR]HVV

Abbildung 1: Elemente der ProduktGovernance

Die Sicherstellung und laufende Überwachung dieser genannten Vorgaben beschäftigt aktuell die Betroffenen mehr als die den Kunden auszuhändigenden Produktinformationsblätter (KID, IPID, LIPID), die weitgehend umgesetzt sind. Mit diesen Produktinformationsblättern sollen den Kunden vor Abgabe einer Vertragserklärung die relevanten Informationen über das Versicherungsprodukt „kurz und knackig“ in einer standardisierten Form zur Verfügung gestellt werden, um eine „wohlinformierte Kundenentscheidung“ zu ermöglichen. Speziell die Gestaltung der gemäß Verordnung für Basisinformationsblätter (PRIIP-VO) notwendigen Basisinformationsblätter für Versicherungsanlageprodukte war aufgrund von Unklarheiten vor allem bei der Darstellung der Kosten, der Performanceszenarien und der Risiken keine leichte Übung. Diese Informationsblätter sind selbstverständlich stets aktuell zu halten und auf den Websites der Versicherungsunternehmen zu veröffentlichen. Verstöße sind mit empfindlichen Geldstrafen verbunden. Auch bei zukünftigen Produktänderungen oder Produktneuerungen sind die Maßnahmen aus der Produkt-Governance einzuhalten bzw Produktinformationsblätter zu adaptieren oder neu zu erstellen. Prüfungen seitens der österreichischen Finanzmarktaufsicht (FMA) zur Einhaltung der regulatorischen Vorgaben werden nicht ausbleiben bzw haben bereits bei einigen Unternehmen begonnen.

Beratungsprozess Der Verkaufsprozess wurde durch die Bestimmungen im Versicherungsaufsichtsgesetz2 einer Neuregelung unterzogen. Er gliedert sich im Wesentlichen in drei Phasen: Information – Durchführung eines Wünsche- und Bedürfnistests – Beratung. Ein Teil der für Kunden wichtigen Informationen, wie etwa über das Versicherungsunternehmen, sind vor der Ermittlung der Wünsche und Bedürfnisse zu erteilen, der übrige Teil dann spätestens vor der Abgabe der Vertragserklärung des Kunden. Die Feststellung der Wünsche und Bedürfnisse des Kunden im Rahmen des Wünsche-

3/2019

8/26/2019 6:37:15 PM

und BedĂźrfnistests stellt keine Beratung und keine Risikobeurteilung dar. Sie resultiert vielmehr aus den individuellen UmstĂ¤nden des potenziellen Kunden und ist stets durchzufĂźhren. Daran anschlieĂ&#x;end folgt die eigentliche Beratung in Form einer persĂśnlichen Empfehlung, warum ein Produkt am besten den WĂźnschen und BedĂźrfnissen des Kunden entspricht. Auf die Beratung kann der Kunde nach einer erfolgten Warnung mittels einer gesonderten ErklĂ¤rung verzichten. All diese Schritte inklusive dem Ergebnis der Beratung sind selbstverstĂ¤ndlich in dem verpflichtenden Beratungsprotokoll zu dokumentieren. Bei der Vermittlung von Versicherungsanlageprodukten hat zusĂ¤tzlich ein Geeignetheitstest vor der Beratung zu erfolgen, um ein bestimmtes Kundenprofil festzulegen in Bezug auf Kenntnisse und Erfahrungen im Anlagebereich und die finanziellen VerhĂ¤ltnisse. Bei einem Beratungsverzicht durch den Kunden ist zumindest ein Angemessenheitstest in Bezug auf das in Betracht gezogene Produkt durchzufĂźhren.

Zur Sicherstellung all dieser Anforderungen ist eine UnterstĂźtzung durch ITSysteme unumgĂ¤nglich. Die Adaptierung der unternehmenseigenen EDV-Systeme zur Darstellung der erforderlichen Informationspflichten, zur UnterstĂźtzung des gesamten Beratungsprozesses und zur Sicherstellung der notwendigen Dokumentation (Beratungsprotokoll etc) nahm viel Zeit in Anspruch und war aufgrund der kurzen Umsetzungsfrist durchwegs herausfordernd. Nach Vorliegen der rechtlichen Grundlagen fĂźr alle Vermittlertypen sind hier noch letzte Umsetzungsschritte zu setzen.

Aus- und Weiterbildung WĂ¤hrend die Bestimmungen fĂźr die Versicherungsunternehmen bereits relativ klar durch das Versicherungsaufsichtsgesetz (VAG) 2016 normiert und verankert sind3, bleiben im Bereich der selbstĂ¤ndigen Versicherungsvermittler noch gewisse Unsicherheiten in der gesetzlichen Auslegung und Umsetzung. Hier lohnt sich eine nĂ¤here Untersuchung der be-

stehenden Rechtsgrundlagen. Unbestritten ist und bleibt jedenfalls, dass jeder Versicherungsvermittler 15 Stunden Weiterbildung pro Jahr zu absolvieren hat. Die Konkretisierung der Ausgestaltung der Schulungsinhalte wurde an die FachverbĂ¤nde Ăźbergeben, welche die Weiterbildungen in 2 Modulen â&#x20AC;&#x201C; Rechtskompetenz und Berufsrecht sowie Fachund Spartenkompetenz â&#x20AC;&#x201C; inhaltlich vordefiniert haben (vgl Abbildung 2). Bei der Auswahl der Lerninhalte werden Informationen Ăźber Versicherungsprodukte bzw Produkttarife explizit ausgeschlossen, wĂ¤hrend die BerĂźcksichtigung der in der Praxis tatsĂ¤chlich wahrgenommenen Aufgaben jedenfalls als Einflussfaktor auf die Auswahl der Schulungseinheiten definiert wurde. GemĂ¤Ă&#x; dieser gesetzlichen Bestimmung sind auch Gewerbetreibende dazu verpflichtet 7,5 bis 10 Stunden bei unabhĂ¤ngigen Bildungsinstituten zu absolvieren. Sonstige am Versicherungsvertrieb mitwirkende Personen, wie zB Mitarbeiter in Versicherungsagenturen und MaklerbĂźros, kĂśnnen ihre Weiterbildungsverpflich-

Lerninhalte aufgegliedert in 2 Modulen Rechtskompetenz und Berufsrecht

Versicherungsvertragsrecht

Allgemeines Privatrecht

Unternehmensrecht

Arbeitsrecht

Sozialversicherungsrecht

Berufsethik & Beschwerdemanagement

Gewerberecht

DSGVO

Sonstige Personenversicherungen

Sachversicherungen

Handelsvertreterrecht

Modul 1

Fach- und Spartenkompetenz

Versicherungsanlageprodukte

Versicherungsmathematik

RĂźck- und Mitversicherung

Lebensversicherungen

Riskmanagement

PolizzenprĂźfung

Schadenabwicklung

VermĂśgensversicherungen

QualitĂ¤tsmanagement

Modul 2

Abbildung 2: Lehrplan des Bundesgremiums der Versicherungsagenten â&#x20AC;&#x201C; Modul 1 & 2 (Entwurf)

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 32

www.compliance-praxis.at

8/26/2019 6:37:16 PM

Compliance Recht &

Praxis Haftung

tungen auch intern oder bei sonstigen Bildungsanbietern absolvieren. Darüber hinaus wird auch auf die Sicherstellung der Varietät in Schulungsformaten wie Webinaren, Präsenzschulungen und E-Learning-Einheiten Wert gelegt. Aus ersten Marktbeobachtungen ist abzuleiten, dass Modul 2 „Fach- und Spartenkompetenz“ gut durch das interne Schulungsangebot von Versicherern oder sonstigen bereits bekannten Bildungsanbietern abdeckt werden kann. Die Nachfrage im Bereich Weiterbildung ist daher eher an unabhängige Kooperationsanbieter gerichtet, die insbesondere Modul 1 „Rechtskompetenz und Berufsrecht“ zielgerichtet auf den Versicherungssektor und somit mit entsprechendem Mehrwert abbilden können. Welcher Ansatz verfolgt wird, um Versicherungsvermittlern Wissen in den ausgewählten Rechtsgebieten zu vermitteln, gilt es im Einzelfall zu definieren und resultiert in der Ausgestaltung eines individuellen und ansprechenden Schulungskonzepts. Sinnvoll erscheint es, in der Anfangsphase in Form eines

Basismoduls einen guten Überblick über alle vordefinierten Module zu geben und die Inhalte dieser ausgewählten Rechtsgebiete in einem ersten Schritt auf grundlegendem Level abzudecken. Bei weiterführenden Lehreinheiten können aufbauend auf dem erlangten Basiswissen ganz zielgerichtet spezifische Schwerpunktthemen gesetzt werden und entsprechendes Tiefenwissen in diesen Rechtsbereichen geschult werden.

Im Spotlight der IDD-Weiterbildung: Basismodul „Rechtskompetenz und Berufsrecht“ Gerade im Versicherungssektor sind der Anwendungsbereich und vor allem auch die Anwendungsrelevanz von Regulatorik sehr ausufernd und bieten ein umfangreiches Spektrum an potenziellen Lehrinhalten: Das Versicherungsvertragsgesetz ist wohl eine der relevantesten Gesetzesgrundlagen für Versicherungsvermittler. Hier trifft vor allem das Kündigungs- und Rücktrittsrecht auf reges Interesse, ins-

Datenschutz – Recht und Praxis

besondere Informationen über die Doppelversicherung, Besitzwechselkündigung und Risiko- oder Interessewegfall und die damit einhergehenden Fristen, die im Fall einer Kündigung einzuhalten sind. Versicherungsvermittler werden über die sogenannte Zurückweisungspflicht unterrichtet ebenso wie über die resultierenden Konsequenzen, die bei einer Versäumnis dieser Pflicht eintreten. Auch die Novellierung des § 5c VersVG ist Bestandteil der Lerninhalte im Versicherungsvertragsrecht, jenem 14-tägigen Rücktrittsrecht, das nun für jeden Versicherungsnehmer, unabhängig ob Verbraucher oder Unternehmer und ohne jeglichen Grund, zutrifft und anwendbar ist. Aspekte des allgemeinen Privatrechts sind auch aus Sicht der Versicherungsvermittler als Basiswissen zu definieren und somit grundlegender Bestandteil potenzieller Schulungseinheiten im Rahmen der IDD. Am Beispiel der Geschäftsfähigkeit kann sehr schön herausgearbeitet werden, dass es als Versicherungsvermittler unumgänglich ist, die Prinzipien der unterschiedlichen Geschäftsfähigkeits-

Ziel dieses Werkes ist eine jurisঞsch fundierte Aufarbeitung und Darstellung wichঞger Bereiche des neuen Datenschutzes, gegliedert nach relevanten Themen bzw aus verschiedenen Blickwinkeln: Behörde und Verfahren, Datenschutzbeau[ragte, IT, Rechts- und Anwaltspraxis (Datenschutzverträge, Straf-, Arbeitsrecht), Internaঞonales, Organisaঞon und Sicherheit. Mit zahlreichen Praxisঞpps, Beispielen und Hinweisen unterstützt dieses Handbuch all jene, die innerhalb oder außerhalb einer Organisaঞon mit Datenschutz zu tun haben, also Datenschutzbeau[ragte, -manager, -koordinatoren, aber auch Anwälte, Geschä[sführer, Unternehmensjuristen, Compliance-Verantwortliche etc. Der Herausgeber: RA Dr. Michael M. Pachinger

Preis: € 98,– Wien 2019 | 528 Seiten Best.-Nr. 30158001 ISBN 978-3-7007-7386-3

JETZT BESTELLEN! Weil Vorsprung entscheidet.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 33

E-Mail: kundenservice@lexisnexis.at | Tel.: +43-1-534 52-0 Versandkostenfreie Lieferung bei Bestellung unter shop.lexisnexis.at

3/2019

8/26/2019 6:37:16 PM

stufen in Österreich zu kennen: Ab wann darf ein Jugendlicher selbst seine Versicherungsverträge unterzeichnen, wann ist eine Unterschrift der Eltern oder sogar die Zustimmung des Pflegschaftsgerichts notwendig? Neben der Vermittlung von Basiswissen im Unternehmensrecht kann gerade im Versicherungskontext ein Fokus auf das Thema Prokura und Handlungsvollmacht gelegt werden. Auch das Handeln als integrer Versicherungsvermittler sollte besonders herausgestrichen werden, indem auf Compliance-Standards eingegangen und beleuchtet wird, wie aus IDD-Perspektive richtig mit Interessenkonflikten umzugehen ist. Im Bereich des Arbeitsrechts, das Verordnungen, Gesetze und Bestimmungen für unselbstständig Erwerbstätige umfasst, sind Erläuterungen zu gesetzlichen Bestimmungen der Arbeitszeit und Überstunden sowie entsprechende rechtliche Neuerungen in diesem Bereich wie beispielsweise die Vier-Tage-Woche und die damit entstandenen Rechte und Pflichten für Versicherungsvermittler und ihre Angestellten von Bedeutung. Interessant ist weiters das Thema Dienstnehmerhaftung (§ 1313a ABGB „Erfüllungsgehilfenhaftung“), der Ersatz von Schäden, die durch einen Dienstnehmer des Versicherungsvermittlers gegenüber einem unabhängigen Dritten verursacht wurden und die damit verbundene Regressmöglichkeit des Letzteren an seinem Mitarbeiter (DHG). Auch sollen die grundlegenden Prinzipien der Arbeitnehmerähnlichkeit vermittelt und entsprechende Auswirkungen auf potenziell betroffe-

ne Versicherungsvermittler beleuchtet werden. Wesentliche Inhalte des Sozialversicherungsrechts sind ebenfalls Bestandsteil eines guten IDD-Basismoduls. Arbeitnehmer müssen unumgänglich mit dem Arbeitsantritt, sprich vom ersten Tag an, bei der Sozialversicherung gemäß ASVG angemeldet werden. Eine Nachfrist gibt es nicht mehr und die Sanktionen bei Nichteinhaltung der Meldepflicht reichen von Beitragszuschlägen (§ 56 ASVG), Verzugszinsen (§ 59 ASVG) über Verwaltungsstrafen (§111 ASVG) bis hin zu strafrechtlicher Verantwortung (§ 153c StGB). Weiters werden die leistungs- und beitragsrechtlichen Unterschiede zwischen ASVG und GSVG erläutert ebenso wie jene zwischen Pflicht- und Privatversicherung. Insbesondere stehen natürlich auch die Inhalte des Handelsvertreter- bzw Maklerrechts im Fokus, welche die gesetzlichen Grundlagen des jeweiligen Versicherungsvermittlers darstellen. Hier wird auf die Befugnisse, Rechte und Pflichten, Möglichkeiten der Vergütung sowie den Ausgleichsanspruch und die Folgeprovision eingegangen. Im Gewerberecht wird zusätzlich zu den Key Facts zur gewerblichen Tätigkeit ein besonderes Augenmerk auf die Standes- und Ausübungsregeln für Versicherungsvermittler (§§ 137f GewO) gelegt.

reichen ist jedoch noch konkretes Handeln gefordert, speziell was das Thema Aus- und Weiterbildung betrifft. Auch die Umsetzung der jüngst in Kraft getretenen Bestimmungen für die Makler und Versicherungsagenten wird noch etwas Zeit in Anspruch nehmen. Darüber hinaus sind zukünftig laufend eine Reihe von Maßnahmen notwendig, zB bei der Entwicklung eines neuen Produktes, bei der Gestaltung neuer Vergütungssysteme oder anlässlich der laufenden Zielmarktüberwachung bzw des Produktmonitorings. Denn schließlich könnte sich aus einem derartigen Monitoring die Notwendigkeit allfälliger Korrekturmaßnahmen ergeben. ComplianceOfficern in Versicherungsunternehmen sei nahegelegt, sich laufend aktiv in alle IDD-relevanten Themen einzubringen, da wohl die Verantwortung für die Einhaltung sämtlicher rechtlicher Vorgaben (auch) bei der Compliance liegt. IDD wird daher die Versicherungswirtschaft auch in den nächsten Jahren noch beschäftigen, aber auf lange Sicht sicherlich die Qualität der Versicherungsprodukte sowie der Versicherungsvermittlung verbessern.

Fazit Die großen Meilensteine hat die Versicherungsbranche bei der Umsetzung der IDD schon hinter sich. In vielen Be-

2) 3)

POG-Guidelines (Vorbereitende Leitlinien zu den Aufsichts- und Lenkungsvorkehrungen seitens Versicherungsunternehmen und Versicherungsvertreibern, EIOPA-BoS-16/071), Art 25 IDD (Richtlinie [EU] 2016/97 vom 20. 1. 2016 über Versicherungsvertrieb) konkretisiert durch Delegierte VO (EU) 2017/2358 vom 21. 9. 2017 in Bezug auf die Aufsichts- und Lenkungsanforderungen für VU und Versicherungsvertreiber, § 129 VAG 2016 (neu) gem VersVertrRÄG 2018. §§ 130 bis 133 VAG 2016 (neu) gem VersVertrRÄG 2018. § 123a VAG 2016 (neu) gem VersVertrRÄG 2018.

Die Autoren

Mag. Klaus Jarosch (links im Bild) ist Chief Compliance Ofﬁcer der Allianz Elementar VersicherungsAktiengesellschaft. In dieser Funktion ist er neben den Compliance-Kernbereichen Betrugs- und Korruptionsprävention sowie Kapitalmarkt-Compliance auch für die Geldwäscheprävention sowie die Unternehmensgovernance verantwortlich. Mag. Jarosch ist Jurist und seit 2005 im Bereich Legal und Compliance der Allianz tätig. Mag. Birgit Wastl, MA (rechts im Bild) ist Senior Manager im Management Consulting der KPMG Advisory GmbH. Ihr Tätigkeitsschwerpunkt liegt im Finanzdienstleistungssektor, konkret in der Umsetzung regulatorischer Anforderungen (DSGVO, IDD etc) inklusive Durchführung von Business Impact Analysen, Prozessdesign, Stakeholdermanagement, IT-Anforderungsmanagement sowie Adaptierung von Organisationsstrukturen. Birgit Wastl ist Juristin und Betriebswirtin und nach ihrer Tätigkeit als Legal Counsel in der Versicherungswirtschaft seit 2016 für die KPMG tätig.

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 34

www.compliance-praxis.at

8/26/2019 6:37:16 PM

Compliance Recht &

Praxis Haftung

Strafrechtliche Risiken von Sponsoring durch Kapitalgesellschaften Sponsoring ist ein anerkanntes Kommunikationsinstrument, das in weiten Bereichen eingesetzt wird und sich stetig weiterentwickelt. Während die wirtschaftliche Zweckmäßigkeit von Sponsoringtätigkeiten im Grunde unstrittig ist, können diese für Vertreter von Kapitalgesellschaften in manchen Fällen durchaus auch strafrechtliche Risiken bergen. Der folgende Artikel bietet einen Kurzüberblick über die Erfüllung des Untreuetatbestandes durch Sponsoring.

Von Clara Ifsits

Ausgangspunkt

Sponsoringbegriff

Sponsoring ist heute allgegenwärtig und hat neben dem Sport-, Kultur-, Umwelt-, Wissenschafts- und Medienbereich bereits ebenso den sozialen Sektor und das politische Leben erreicht. An der wirtschaftlichen Zweckmäßigkeit wird in aller Regel nicht gezweifelt. Die ökonomische Sinnhaftigkeit von Sponsoring muss aber nicht in jedem Fall offensichtlich sein: Wo beispielsweise durch den Entscheidungsträger gegründete Wohltätigkeitsvereine, kontroverse Kunstprojekte oder unbekannte Sportler systemlos mit weit überzogenen Beträgen gefördert werden, stellt sich die Frage, ob dies für das sponsernde Unternehmen tatsächlich gewinnbringend ist oder doch nur einer Verschleuderung von Gesellschaftsvermögen gleichkommt. Dies führt letztlich zur Frage, ob und wann Sponsoring auch ein Fall für das gerichtliche Strafrecht sein kann. Die folgenden Ausführungen beschäftigen sich mit der Erfüllung des Untreuetatbestandes (§ 153 StGB) durch Sponsoring. Nach einem Kurzüberblick über den Sponsoringbegriff und den Untreuetatbestand wird zunächst auf die Frage des Befugnismissbrauchs und in weiterer Folge auf den Eintritt eines Vermögensschadens durch Sponsoring eingegangen. Den Abschluss bilden kursorische Ausführungen zu möglichen Risiken einer Verbandsverantwortlichkeit nach dem Verbandsverantwortlichkeitsgesetz (VbVG) bei strafrechtlich relevanten Sponsoringtätigkeiten.

Sponsoring lässt sich begrifflich nicht scharf umreißen. Grundsätzlich wird damit die Hingabe von Geld-, Sach- oder Dienstleistungen durch ein Unternehmen an ein Sponsoringobjekt gegen die Gewährung einer Gegenleistung, mit der kommunikative und übergeordnet ökonomische Ziele erreicht werden sollen, bezeichnet.2 Während die konkrete Ausgestaltung einer Sponsoringbeziehung stark variieren kann, grenzt sie sich von ähnlichen Phänomenen – etwa Spenden oder dem Mäzenatentum – dennoch durch die zweiseitige Austauschbeziehung zwischen Sponsor und Gesponsertem ab. Sponsoring erfolgt nicht aus Freigiebigkeit, sondern mit ökonomischen Zielsetzungen.3

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 35

Untreue nach § 153 StGB Der Untreuetatbestand wurde in den letzten Jahren insbesondere infolge medienwirksamer Wirtschaftsstrafverfahren öffentlich diskutiert. Auf Seiten der Wirtschaft wurde dabei befürchtet, dass nahezu jede unternehmerische Fehlentscheidung auch strafrechtliche Ermittlungen nach sich ziehen könnte – § 153 StGB wurde als „Breitbandantibiotikum der Rechtsprechung“4 und „Damoklesschwert der Manager“5 bezeichnet. Mit einem Initiativantrag im Zuge des Strafrechtsänderungsgesetzes 2015 (BGBl I 2015/112) wurde die Untreue gesetzlich präzisiert und zudem die sog „Business Judgement Rule“ in § 84 Abs 1a AktG sowie § 25 Abs 1a GmbHG eingeführt.

Nach § 153 StGB macht sich strafbar, wer seine Befugnis, über fremdes Vermögen zu verfügen oder einen anderen zu verpflichten, wissentlich missbraucht und dadurch den anderen am Vermögen schädigt. Der Untreuetatbestand soll das Vermögen des die Befugnis einräumenden Machtgebers schützen.6

Befugnismissbrauch Der Befugnismissbrauch wird allgemein als Überschreitung des rechtlichen Dürfens im Rahmen des rechtlichen Könnens charakterisiert.7 Der über Rechtsmacht verfügende Machthaber nutzt diese auf missbräuchliche Weise, indem er eine Rechtshandlung vornimmt, die er im Außenverhältnis zwar setzen kann, nach internen Vorgaben jedoch nicht darf.8 Ein Missbrauch iSd § 153 StGB ist aber nur dann gegeben, wenn der Machthaber bezüglich seines Pflichtenverstoßes auch wissentlich handelt (§ 5 Abs 3 StGB). Der Missbrauchsmaßstab richtet sich nach dem Innenverhältnis zwischen Machthaber und Machtgeber. Hat der Machtgeber konkrete Anweisungen erteilt, oder bestehen solche im Rahmen von Compliance-Richtlinien, internen Vorgaben oder einzuhaltenden Verfahrensschritten, so ist jede Abweichung davon untreuerelevant.9 Bestehen keine derartigen Regelungen, so muss zur Beurteilung auf den gesetzlichen Rahmen, insbesondere auf gesellschaftsrechtliche Vorgaben, abgestellt werden. Die strafrechtliche Pflichtwidrigkeit knüpft folglich akzessorisch an das Zivil- und Gesellschaftsrecht an. Maßgebend sind dabei insbesondere gesellschaftsrechtliche Generalklauseln, die

3/2019

8/26/2019 6:37:28 PM

im Wesentlichen vorsehen, dass Entscheidungsträger mit der gebotenen unternehmerischen Sorgfalt zu agieren haben und die damit einen haftungsfreien Ermessensspielraum begründen (§ 84 Abs 1, § 99 AktG, § 25 GmbHG).10 Erster Anknüpfungspunkt ist die Prüfung der Kriterien der Business Judgement Rule, bei deren Einhaltung jedenfalls keine Pflichtwidrigkeit gegeben ist. Auf strafrechtlicher Ebene wird der Befugnismissbrauch in § 153 Abs 2 StGB als unvertretbarer Gebrauch von Rechtsmacht präzisiert. Untreuerelevant ist eine Rechtshandlung zudem nur dann, wenn dabei gegen Regeln verstoßen wird, die dem Vermögensschutz des wirtschaftlich Berechtigten dienen.

Vermögensschaden Nach hA liegt ein untreuerelevanter Vermögensschaden erst bei einem effektiven Verlust an Vermögenswerten vor.11 Eine schadensgleiche Vermögensgefährdung reicht hingegen – anders als nach deutscher Rechtslage – nicht aus.12 Der Vermögensschaden wird durch einen Vergleich der Vermögenslage des Machtgebers vor mit derjenigen nach der Tathandlung ermittelt. Dabei werden nach dem Grundsatz der Gesamtsaldierung alle unmittelbaren Vor- und Nachteile aus dem Geschäft miteinander aufgerechnet. Bei Vorliegen eines Austauschgeschäftes ergibt sich der Vermögensschaden folglich aus der Differenz zwischen dem Wert der hingegebenen und der erhaltenen bzw vereinbarten Leistung.13

Untreue durch Sponsoring Zur Beurteilung der Erfüllung des Untreuetatbestandes durch Sponsoring sind die Tatbestandselemente des Befugnismissbrauchs und des Vermögensschadens unter Berücksichtigung der Besonderheiten des Sponsorings zu untersuchen.

Befugnismissbrauch durch Sponsoring Anders als Spenden oder das Mäzenatentum erfolgt Sponsoring nicht einseitig, sondern im Austausch für eine wirtschaftlich relevante Gegenleistung. Sponsoringtätigkeiten dienen langfristig den ökonomischen

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 36

Interessen eines Unternehmens und damit idR auch dem Unternehmenswohl.14 Ob dies auch für den konkreten Einzelfall gilt, oder der Abschluss eines Sponsoringvertrages vielmehr einen Befugnismissbrauch begründet, hängt zunächst von den internen Regelungen des Unternehmens ab. Besteht etwa eine Sponsoringrichtlinie mit bestimmten Vorgaben in Bezug auf Höhe der Förderungssumme oder Art des Sponsoringobjekts, so ist jede Abweichung als pflichtwidrig zu werten. Wurden hingegen keine entsprechenden Vorgaben gesetzt, so ist die Pflichtwidrigkeit der Entscheidung nach allgemeinen zivil- und gesellschaftsrechtlichen Kriterien zu untersuchen. Dazu ist zunächst auf die Einhaltung der Business Judgement Rule abzustellen. Erst, wenn ihre Vorgaben nicht erfüllt sind, ist die Entscheidung nach dem allgemeinen Sorgfaltsmaßstab zu prüfen. Sowohl der deutsche BGH15 als auch der OGH16 haben sich in der Vergangenheit bereits mit den sachlichen Grenzen des Ermessensspielraums bei Sponsoring auseinandergesetzt und dabei einen Katalog an objektiv-individuellen Kriterien zur Prüfung der Pflichtwidrigkeit der Entscheidung entwickelt, der in der Folge auch im Schrifttum aufgegriffen wurde. Unter Berücksichtigung der Grundkonzeption von Sponsoring und den Zielen dieses spezifischen Kommunikationsinstruments zeigt sich allerdings, dass nicht jedes der erarbeiteten Kriterien gleichermaßen zweckmäßig ist. So wurde insbesondere vom BGH die Verbindung des Unternehmensgegenstandes zum Sponsoringobjekt wertend einbezogen. Dies ist gerade mit Blick auf das meist zentrale Ziel von Sponsoring – nämlich die Erreichung eines Imagetransfers – zweifelhaft. Sponsoring wird schließlich oftmals dazu eingesetzt, um dem Sponsor Prädikate zuzuschreiben, die er aufgrund seiner Tätigkeit nicht aufweist, so etwa bei der Förderung einer Sportveranstaltung durch eine Pharmafirma. Der fehlende Tätigkeitsbezug sollte bei der Untersuchung der Pflichtwidrigkeit der Sponsoringentscheidung folglich nur unter besonderer Berücksichtigung der konkreten Imageziele gewertet werden. Als weitere Kriterien wurden persönliche Präferenzen des Entscheidungsträgers, die Zielsetzungen, die Angemessenheit der Leistungsbeziehung sowie die Transparenz

der Entscheidung genannt. Bei der Transparenz ist zu berücksichtigen, dass damit kein Anhaltspunkt für die materielle Vertretbarkeit der Sponsoringentscheidung vorliegt, sondern lediglich aufgrund des Vorliegens eines sorgfältigen Entscheidungsprozesses eine indizielle Wirkung bestehen kann.17 Die dargelegten Kriterien sind nicht als „quantitativer Pflichtenkatalog“, sondern vielmehr in ihrer Gesamtheit und als bewegliches System zu werten. Selbst, wenn nicht jedes der Kriterien erfüllt ist, kann eine Sponsoringentscheidung – je nach Lage des Falles – dennoch (un-)zulässig sein. Erst, wenn die Entscheidung als wirtschaftlich unvertretbar zu qualifizieren ist, kann daran eine gesellschaftsund strafrechtliche Haftung anknüpfen.

Vermögensschaden bei missbräuchlichem Sponsoring Spätestens mit der Auszahlung der Sponsoringsumme ist jedenfalls ein Vermögensabfluss aus dem Unternehmen – somit prima facie ein Vermögensschaden – gegeben. In der strafrechtlichen Beurteilung bleibt aber zu berücksichtigen, dass der Auszahlung auch die positiven Sponsoringwirkungen gegenüberzustellen sind, die mit dem Sponsoring einhergehen. Die Berechnung der kommunikativen Wirkungen von Sponsoring – die sog Erfolgskontrolle – ist zunächst aus wirtschaftlichen Überlegungen interessant. Auf diese Weise kann der ökonomische Nutzen der Maßnahme festgestellt werden und somit, ob diese für das Unternehmen auch zweckmäßig war. Zur Sponsoringkontrolle wurde bereits eine Reihe an Evaluationsmethoden entwickelt. Eine bekannte Methode zur Reichweitenanalyse des Sponsorings ist die sog Werbewertermittlung: Anhand der Häufigkeit der medialen Berichterstattung über das Sponsoringobjekt wird auf die fiktiven Kosten geschlossen, die für Werbung in ebendiesem Ausmaß entstanden wären. Dieser „Werbeäquivalenzwert“ soll den Wert des Sponsorings beziffern.18 Wenngleich die Methoden zur Erfolgskontrolle aus wirtschaftlicher Perspektive durchaus zweckmäßig sein mögen, helfen sie in der strafrechtlichen Beurteilung des Untreueschadens im Grunde nicht weiter.

www.compliance-praxis.at

8/26/2019 6:37:28 PM

Compliance Recht &

Praxis Haftung

Die Saldierung des Vermögensschadens kann nur durch einen eigentlichen Vermögenszuwachs erfolgen. Ein solcher kann aber durch die Erfolgskontrolle nicht mit der für das Strafverfahren erforderlichen Sicherheit festgestellt werden. Zur Beurteilung eines Vermögensschadens iSd § 153 StGB ist letztlich auf den Wert des Sponsoringvertrages anzuknüpfen. Der daraus erwachsende Anspruch auf die Erbringung der Sponsoringgegenleistung durch den Gesponserten ist idR als wirtschaftlich werthaltig anzusehen. Im Ergebnis wird nach allgemeinen strafprozessualen Grundsätzen grundsätzlich davon auszugehen sein, dass die Gegenleistung kompensatorisch wirkt. Erst, wenn die Kompensation – etwa mit Blick auf die Höhe der Sponsoringsumme – nicht einmal denkbar ist, liegt ein Vermögensschaden durch Sponsoring vor.19

Verbandsverantwortlichkeit Ist nach den soeben dargelegten Grundsätzen eine Untreuestrafbarkeit gegeben, so ist in weiterer Folge die potenzielle Verantwortung des hinter dem Entscheidungsträger stehenden Verbandes nach dem Verbandsverantwortlichkeitsgesetz (VbVG) zu prüfen. Um eine Straftat einem Verband zurechnen zu können, ist nach § 3 VbVG erforderlich, dass diese entweder zu Gunsten des Verbandes begangen worden ist oder dabei Pflichten verletzt wurden, die den Verband treffen. Bei der Strafbarkeit eines Entscheidungsträgers nach § 153 StGB ist zu beachten, dass die Straftat zwar iZm mit dem Verband steht, sich allerdings gerade gegen dessen Interessen richtet. Der Verband ist folglich nicht zur Verantwortung zu ziehen (Opferkriterium).20 Eine Verbandsverantwortlichkeit kann demgegenüber nach allgemeinen Grundsätzen den Verband treffen, der über seinen Entscheidungsträger an der Untreue

beteiligt ist und dem die Sponsoringleistung zugeflossen ist.

Literaturempfehlung

Ergebnis Während Sponsoring idR strafrechtlich unbedenklich ist, können sich für Entscheidungsträger in seltenen Fällen untreuestrafrechtliche Risiken ergeben. Für die Strafbarkeit nach § 153 StGB ist zunächst zu prüfen, ob der Abschluss des Sponsorings einen Befugnismissbrauch konstituiert. Dies wäre etwa dann gegeben, wenn der Machthaber bei seiner Rechtshandlung wissentlich gegen eine interne Sponsoring-Richtlinie oder Compliance-Vorgaben verstößt. Bestehen keine konkreten Vorgaben, so ist die Einhaltung der gebotenen Sorgfalt und somit des Ermessensspielraums aus zivil- und gesellschaftsrechtlicher Perspektive zu prüfen. Bei der Beurteilung des Vorliegens eines Vermögensschadens ist besonders der aus dem Sponsoring erwachsende und potenziell den Vermögensabfluss kompensierende wirtschaftliche Wert zu beachten. Eine Verbandsverantwortlichkeit kommt nicht für den geschädigten, sondern nur für denjenigen Verband in Betracht, dessen Entscheidungsträger als Beitragstäter an der Untreue zu Lasten eines anderen Verbandes belangt wird.

2) 3)

So laut Medienberichten, vgl Red Bull & Co.: Die Proﬁteure des Stratos-Sprungs, https://diepresse.com/home/wirtschaft/economist/1301778/ Red-Bull-Co_Die-Proﬁteure-desStratosSprungs (abgefragt am 26. 7. 2019). Vgl statt vieler Bruhn, Sponsoring. Systematische Planung und integrativer Einsatz6 (2018) S 6. Witt, Kunstsponsoring. Gestaltungsdimensionen, Wirkungsweise und Wirkungsmessungen (2000) S 49; Burgi/Hampe/Friedrichsmeier, Der Rechtsrahmen des Verwaltungssponsoring: Regelungsbedarf, Verfassungsvorgaben, empirische und rechtsvergleichende Erkenntnisse, in Burgi (Hrsg), Sponsoring der öffentlichen Hand (2010) S 71 (77); Höltkemeier, Sponsoring als Straftat (2005) S 24; Nuß, Untreue durch Marketingkommunikation (2006) S 100; Cordes, Sponsoring, in Geyer/Manschwetus (Hrsg), Kulturmarketing (2008) S 404 (405).

Ifsits, Strafrechtliche Risiken des Sponsoring. Zur Strafbarkeit von Sponsor und Gesponsertem wegen Untreue und Korruption (2019)

5) 6)

10)

11)

12)

13)

14) 15) 16) 17) 18)

19) 20)

Plöckinger, Die Business Judgement Rule – Eine Möglichkeit zu einer schärferen Konturierung des Befugnismissbrauchs im Rahmen des § 153 StGB? GES 2013, S 343 (343). Reich-Rohrwig, Damoklesschwert über jedem Manager, Der Standard 9. 10. 2013. Vgl statt vieler Kirchbacher/Presslauer in WK2 StGB § 153 Rz 1; Pfeifer in SbgK § 153 Rz 4; Birklbauer/Hilf/Tipold, Strafrecht Besonderer Teil I4 § 153 Rz 2; Kienapfel/Schmoller, Studienbuch Strafrecht. Besonderer Teil II2 § 153 Rz 12. Kirchbacher/Presslauer in WK2 StGB § 153 Rz 1; Pfeifer in SbgK § 153 Rz 20; Birklbauer/Hilf/ Tipold, BT I4 § 153 Rz 13; Birklbauer in PK-StGB § 153 Rz 15; Lewisch, Untreue als Vermögensgefährdungsdelikt? AnwBl 2012, S 141 (142). Kirchbacher/Presslauer in WK2 StGB § 153 Rz 28; Kienapfel/Schmoller, BT II2 § 153 Rz 57; Fuchs/ Reindl-Krauskopf, Strafrecht Besonderer Teil I6 (2018) S 224; Flora in Leukauf/Steininger4 § 153 Rz 17. JAB 728 BlgNR XXV. GP 6 = 10; OGH 11. 10. 2017, 13 Os 55/17p; RIS-Justiz RS0131817; Fuchs/Reindl-Krauskopf, BT I6 225; Eckert/Spani/ Wess, Neuregelung des § 153 StGB und Auswirkungen auf die Praxis – Teil I, ZWF 2015, 258 (259); McAllister in Preuschl/Wess, Wirtschaftsstrafrecht § 153 Rz 31. Vgl Fuchs/Reindl-Krauskopf, BT I6 228; Huber, Die Organuntreue zu Lasten von Kapitalgesellschaften (2012) S 67 f. Lewisch, Besonderer Teil I2 (2006) S 251; Kienapfel/Schmoller, BT II2 § 153 Rz 82; Birklbauer in PK-StGB § 153 Rz 21; Flora in Leukauf/Steininger4 § 153 Rz 28, § 146 Rz 40. Kienapfel/Schmoller, BT II2 § 153 Rz 87; Flora in Leukauf/Steininger4 § 153 Rz 28; Pfeifer in SbgK § 153 Rz 33. Vgl Kirchbacher/Presslauer in WK2 StGB § 153 Rz 39; Kienapfel/Schmoller, BT II2 § 153 Rz 91, § 146 Rz 161; Pfeifer in SbgK § 153 Rz 34; Birklbauer in PK-StGB § 153 Rz 23; Flora in Leukauf/Steininger4 § 153 Rz 28. Vgl dazu Ifsits, Strafrechtliche Risiken des Sponsoring (2019) S 46 ff. BGHSt 1 StR 215/01 NStZ 2002, S 322. OGH 12 Os 50/90 JBl 1991, S 532. Vgl zum sachlichen Ermessensspielraum eingehend Ifsits, Risiken (2019) S 56 ff. Marwitz, Kontrolle des Sponsorings (2006) 98; Kolarz-Lakenbacher/Reichlin-Meldegg, Sponsoring (1995) S 26. Vgl ausführlich Ifsits, Risiken (2019), S 105 ff. ErläutRV 994 BlgNR XXII. GP 22; Hilf/Zeder in WK2 VbVG § 3 Rz 19; Steininger, Verbandsverantwortlichkeitsgesetz2 (2018) S 5/23; Boller, Die strafrechtliche Verantwortlichkeit von Verbänden nach dem VbVG (2007) S 158.

Die Autorin

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 37

Dr. Clara Ifsits, ehemals Universitätsassistentin am Institut für Strafrecht und Kriminologie sowie wissenschaftliche Mitarbeiterin am Obersten Gerichtshof in Strafsachen, ist derzeit am Landesgericht für Strafsachen Wien tätig und publiziert regelmäßig zu strafrechtlichen und strafprozessualen Themen.

3/2019

8/26/2019 6:37:28 PM

„Ehrlichkeit und Politik sind keine Gegensätze“ Interview. Deutschlands ehemaliger Finanzminister Theo Waigel ist einer der Keynote Speaker des Compliance Solutions Day 2019. Wir sprachen mit „Mr. Euro“ über das ethische Rüstzeug künftiger Führungskräfte, die Rolle Europas in geopolitisch unruhigen Zeiten und seine Tätigkeit als Compliance Monitor bei Siemens.

nicht alles ändern oder nach seinem Willen gestalten kann. Das Eingehen auf den Anderen, auch der Kompromiss ist notwendig, um dem Gemeinwohl zu dienen. In welchem Kontext ist Ihnen – als Spitzenpolitiker und -jurist – der Begriff „Compliance“ zum ersten Mal begegnet?

Compliance Praxis: Herr Dr. Waigel, pünktlich zu Ihrem 80. Geburtstag haben Sie Ihre Autobiograﬁe mit dem Titel „Ehrlichkeit ist eine Währung“ vorgelegt. Sind absolute Ehrlichkeit und Politik denn überhaupt miteinander vereinbar? Theo Waigel: Ehrlichkeit und Politik sind keine Gegensätze. Zur Ehrlichkeit gehört auch in der Politik nicht zu lügen, keine falschen Behauptungen zu verbreiten, zum gleichen Thema an verschiedenen Orten dasselbe zu sagen, auch großen Figuren den notwendigen Widerspruch nicht zu versagen, eigene Fehler einzugestehen und auch zuzugeben, dass man nicht zu jedem Thema etwas zu sagen hat. Betrachtet man aktuelle Skandale in Politik und Wirtschaft, hat man das Gefühl, vielen Entscheidungsträgern fehlt es an einem moralischen Kompass. War das zu Ihrer aktiven Zeit in der Politik denn besser? Was hat sich geändert? Ich glaube nicht, dass zu meiner aktiven Zeit die moralische Seite der Politik aus-

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 38

geprägter war als heute. Geändert hat sich die Reaktion, Stil und Wut der Auseinandersetzung, Beleidigungen ohne Verantwortung, die mangelnde Rechenschaft demgegenüber, was man hinausposaunt. Die Figur des integren, nicht bloß auf Eigeninteressen ausgerichteten Politikers oder Familienunternehmers ist heute selten anzutreffen. Welche Werte sollten Nachwuchsführungskräften vermittelt werden? Nachwuchsführungskräften sollte man sagen: Es stimmt, was der frühere polnische Außenminister Bartoszewski als Titel eines Buches gewählt hat: „Es lohnt sich, anständig zu sein“. In den Spiegel sehen können, vor seinem Partner und seinen Kindern bestehen zu können und nie erpressbar zu werden, das gehört zu den Grundlinien von Nachwuchskräften in der Wirtschaft und in der Politik. Nicht zuletzt eine christliche Grundauffassung sagt einem, dass die Verantwortung gegenüber dem Nächsten aus der Verantwortung vor Gott herrührt. Dazu gehören auch die christliche Gelassenheit und das Wissen darum, dass man

Der Begriff „Compliance“ ist mir eigentlich erst deutlich geworden, als ich mich bei Siemens als Monitor mit dem Thema beschäftigte. Was allerdings hinter Compliance steckt, das habe ich mein Leben lang versucht zu verwirklichen: Anstand, Geradlinigkeit, Ehrlichkeit sich selbst und anderen gegenüber, Denken und Handeln in Einklang zu bringen und Vertrauen durch Ehrlichkeit aufzubauen. Nach Ihrer politischen Karriere waren Sie zwischen 2009 und 2013 bei Siemens als gerichtlich bestellter Compliance Monitor des US-Justizministeriums im Einsatz. Wie kam es zu dieser Bestellung? 2008 fragte mich der Aufsichtsratsvorsitzende bei Siemens, Dr. Cromme, ob ich bereit wäre, als Monitor bei Siemens zur Verfügung zu stehen, wenn SEC1 und DOJ2 in USA mit diesem Vorschlag einverstanden wären. Nach kurzer Bedenkzeit und Studium, auch der amerikanischen Rechtssituation, habe ich mich einverstanden erklärt und wurde von den Institutionen akzeptiert. Welche Ziele sollten Sie erreichen, welche Befugnisse hatten Sie? Ich sollte erreichen und auch bestätigen, dass Compliance bei Siemens Bestandteil der Unternehmensstrategie ist und die Compliance-Bemühungen nachhaltig

www.compliance-praxis.at

8/26/2019 6:37:28 PM

Compliance Internationales Praxis

und dauerhaft angelegt waren. Ich hatte Zugang zu allen Dokumenten, verfügte über ein leistungsfähiges Team in der Firma und hatte Rückendeckung durch eine renommierte amerikanische Kanzlei und meine Kanzlei in München, die vor allen Dingen im Finanzbereich Erfahrung hatte. Wie gestaltete sich Ihre Tätigkeit bei Siemens konkret? Ich lernte alle Unternehmensbereiche bei Siemens kennen, sprach mit allen wichtigen Persönlichkeiten, unterhielt Diskussionen und Roundtable-Gespräche mit vielen Beschäftigten, arbeitete mich in die Policies und Compliance-Regelungen ein, arbeitete mit Internal Audit zusammen und besuchte selbst und durch unabhängige Kräfte meines Teams fast alle wichtigen Auslandsorte von Siemens. Jedes Jahr erarbeitete ich einen Workplan und am Ende des Jahres einen Report, den ich mit der Firma diskutierte und dann den Autoritäten in Amerika vorlegte. Sowohl die Arbeitspläne wie auch die verschiedenen Reports wurden akzeptiert und vor allem unser letzter Report als beispielhaft gewürdigt. Auch vor Entdeckung der schwarzen Kassen verfügte Siemens über ein Compliance-System. Woran scheitert die Wirksamkeit von Compliance-Maßnahmen Ihrer Ansicht nach in erster Linie? Es gab bei Siemens wie bei fast allen Firmen Compliance-Regelungen, die formal bestanden, pro forma verbreitet wurden, deren Einhaltung aber nicht entsprechend überprüft und verbessert wurde. Es gab bei manchen Managern eine Politik des Wegsehens und des Verdrängens erkennbarer Missstände. Auch im Umgang mit Partnern in High-Risk-Ländern herrschte die Meinung vor, ohne entsprechende Zuwendungen könnten keine Geschäfte getätigt werden. Leider hat auch die Gesetzgebung im Steuerbereich lange Zeit versagt, weil solche Praktiken als nützliche Aufwendungen im Steuerrecht berücksichtigt wurden. Heute ist Compliance-Management in großen deutschen oder österreichischen Unternehmen nicht mehr Ausnahme, sondern Standard. Soll-

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 39

ten auch kleinere Firmen ComplianceMaßnahmen ergreifen? Auch kleinere Firmen können und sollten Compliance-Maßnahmen ergreifen, auch wenn dafür keine aufwändige Organisation eingerichtet werden kann. Über Handwerkskammern oder Wirtschaftsvereinigungen sind Grundlagen und Details von solchen Maßnahmen zu erhalten. Wenn dann der Firmeninhaber, das leitende Management einen klaren „Tone from the Top“ vorgibt, kann auch in mittelständischen Unternehmen Compliance als Wertesystem durchgeführt und befolgt werden. Systematisches Compliance-Management ist auch eine Reaktion auf immer komplexere Gesetzeswerke. Woher kommt die gerade der europäischen Politik oft unterstellte „Regulierungswut“? Mit einem aufwändigen ComplianceManagement versuchen natürlich auch viele Manager, sich von Haftung und Verantwortung freizustellen. Dabei gibt es sicher auch Übertreibungen. Die Vielzahl von Unterschriften unter einem Leasingvertrag zeigt, wie kompliziert bestimmte Geschäftsvorgänge geworden sind. Hier wäre eine Durchforstung und Vereinfachung dringend erforderlich. Die USA betreiben globale Wirtschaftspolitik mit Hilfe von Embargos, Sanktionen oder Steuergesetzen. In Europa nehmen Bürger wie die Datenschutzgrundverordnung trotz der gutgemeinten Ziele teils als bürokratische Bevormundung wahr. Wie könnte es Europa besser machen? Die Weltwirtschaft driftet auseinander und die multilaterale, durchaus erfolgreiche, internationale Politik der letzten Jahrzehnte werden durch Trump und die USA torpediert. Europa könnte durchaus ein Gegengewicht zu dem sein, was in den USA stattfindet oder in China Wirklichkeit ist. Unsere wertebezogene und an der Sozialen Marktwirtschaft ausgerichtete, die verschiedenen Strömungen versöhnende, Politik könnte beispielhaft auch für andere Regionen in der Welt sein.

Wie sehen Sie Europas geopolitisches Standing vor dem Hintergrund erstarkender europaskeptischer Parteien und dem Brexit? Die Rolle Europas in der Welt ist wichtiger als je zuvor. Der Rückfall Europas in Nationalismen und Egoismen würde zu einem Niedergang Europas und aller beteiligten Länder führen. Niemand würde gewinnen. Alle würden verlieren. Wir müssten vor allen Dingen die Jugend wieder für Europa gewinnen und ein großes Bündnis für Europa schnüren, zu dem die junge Generation gehört, die Wirtschaft und die Gewerkschaften, die Bauern und der Mittelstand, die Kirchen und die Sinnvermittlungsinstitutionen wie Schulen und Universitäten. Wie beurteilen Sie Europas ambivalentes Verhältnis zu Russland zwischen politischer Abgrenzung – Stichwort Sanktionen – und wirtschaftlicher Anbindung, etwa im Energiebereich? Russland ist zu einem schwierigen Faktor der Weltpolitik geworden. Eine Doppelstrategie Europas gegenüber Russland ist angesagt. Auf der einen Seite sollte man Russland das Angebot machen, seine Transformation zu einer modernen Volkswirtschaft durch Europa massiv zu unterstützen, wenn Russland seine negative Rolle in der Ostukraine, in Syrien und an einigen anderen strategischen Punkten der Geopolitik verändert. Das wäre auch zum Vorteil Russlands, dessen Volkswirtschaft nicht alleine gesunden kann. Dazu gehört aber auch, das Selbstbewusstsein und den Stolz Russlands gegenüber Europa und anderen Mächten zu respektieren und zu beachten. Sanktionen sind notwendig, aber sie können Schritt für Schritt abgebaut werden, wenn Russland entsprechende Zeichen in Krisenregionen setzt. Herr Dr. Waigel, wir danken Ihnen für dieses Gespräch! Interview: Klaus Putzer

1) 2)

Abkürzung für United States „Securities and Exchange Commission“ = US-Börsenaufsicht. Abkürzung für U.S. „Department of Justice“ = Justizministerium der Vereinigten Staaten.

3/2019

8/26/2019 6:37:29 PM

Wann werden Compliance-Programme international anerkannt? Internationale Ermittlungsbehörden erstellen vermehrt Leitlinien, nach welchen Kriterien sie die Effektivität von Compliance-Programmen beurteilen. Heuer wurden alleine in den USA drei solcher Richtlinien für die Bereiche Anti-Korruption, Kartellrecht und Sanktionen herausgegeben.

Von Rudolf Schwab

Die Effektivität eines Compliance-Management-Systems wird vom US-amerikanischen Justizministerium (DOJ) in erster Linie danach beurteilt, ob es in der Lage ist, Verstöße zeitnah aufzudecken und in Zukunft zu verhindern. Dabei stellt das DOJ sowohl bei seinem Update zur Evaluierung von Anti-Korruptions-Management-Systemen1 als auch bei der neuen Richtlinie zur Evaluierung von Kartellrechts-Compliance-Management-Systemen (CMS)2 auf drei Fragestellungen ab:  Ist das Compliance-Programm des Unternehmens gut konzipiert?  Wird das Programm ernsthaft und in gutem Glauben angewendet? Oder in anderen Worten: Ist das Compliance-Programm wirksam implementiert?  Wird das Compliance-Programm tatsächlich gelebt oder besteht es nur auf dem Papier? Auch die Kontrollbehörde des US-amerikanischen Finanzministerium OFAC (Office of Foreign Assets Control) hat im Mai 2019 ein Rahmenwerk für Compliance-Programme3 zur Einhaltung der Sanktionsbestimmungen erstellt.

DOJ-Richtlinie zur Evaluierung von Compliance-Programmen Ob ein Compliance-Programm gut konzipiert ist, macht das DOJ an folgenden sechs Punkten fest:  Compliance-Risiko-Assessment: Inwieweit berücksichtigt das Compliance Risk Assessment die kommerziellen Aspekte des Geschäfts? Hat das Unternehmen sein ComplianceRisikoprofil identifiziert, bewertet und definiert? Inwieweit sieht das

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 40

CMS risikoorientiert angemessene Ressourcen und Kontrollen vor?  Compliance-Richtlinien und -Prozesse: Richtlinien und Prozesse müssen darauf ausgerichtet sein, die identifizierten Compliance-Risiken zu reduzieren und Compliance in den täglichen Betrieb zu integrieren.  Compliance-Schulungen und -Kommunikation: Neben einem risikobasierten Compliance-Trainingskonzept betont das DOJ die Überprüfung der Wirksamkeit der Compliance-Trainings. Auch der Kommunikation über Fehlverhalten kommt besondere Bedeutung zu.  Vertrauliche Meldekanäle für Fehlverhalten und Aufklärung: Die Existenz eines wirksamen und vertrauenswürdigen Hinweisgebersystems, über das Mitarbeiter anonym oder vertraulich Vorwürfe melden können, der Schutz des Hinweisgebers, die Untersuchung der erhobenen Vorwürfe und die angemesse Sanktionierung bei Fehlverhalten sind wesentliche Bestandteile eines CMS.  Risikobasierte Geschäftspartnerprüfungen mit dem Ziel, besondere Arten von Fehlverhalten erkennen zu können, die am ehesten in der Branche des Unternehmens auftreten.  Integration von Compliance in den M&A-Prozess. Bei der Implementierung des CMS kommt es auf das Commitment des Top-Managements und der Führungskräfte, auf die richtige Positionierung und Ressourcenausstattung der Compliance-Funktion, auf die Fähigkeiten, Kenntnisse und Unabhängigkeit der Compliance-Manager sowie auf die Förderung von Compliance durch HR-Prozesse an.

Die kontinuierliche Verbesserung des CMS, regelmäßige Kontrollen und Überprüfungen der Wirksamkeit des CMS sowie die Analyse der Gründe für das Auftreten von Fehlverhalten als Basis für dessen Behebung sind wesentliche Indikatoren, an denen das DOJ festmacht, ob ein CMS gelebt wird. Das DOJ berücksichtigt nicht nur die Compliance-Bemühungen vor einem Vorfall, sondern selbstverständlich auch danach. Zusammenfassend sind folgende zehn Punkte aus Sicht der DOJ-Leitlinie von besonderer Relevanz:  Compliance ist angemessen mit Personal und Budget ausgestattet.  Die Compliance-Funktion ist unabhängig und hat direkten Zugang zum Aufsichtsrat oder Audit Committee und regelmäßige Treffen mit dem Vorstand.  Compliance soll proaktiv und regelmäßig mit anderen Bereichen zusammenarbeiten, um das ComplianceProgramm systemisch in der gesamten Organisation umzusetzen.  Durch einen risikobasierten Ansatz soll vermieden werden, dass überproportional viel Zeit darauf verwendet wird, Bereiche mit geringem Risiko anstelle von Bereichen mit hohem Risiko zu überwachen.  Die DOJ-Leitlinie erwartet, dass Metriken in Bezug auf ComplianceRichtlinien und -Prozesse, auf Untersuchungen, auf Beziehungen zu Geschäftspartnern, auf das ComplianceRisikomanagement sowie in Bezug auf Compliance-Schulungen implementiert, überwacht und bewertet werden.

www.compliance-praxis.at

8/26/2019 6:37:30 PM

Compliance Internationales Praxis



Verantwortliche in Kontrollpositionen und Manager müssen besonders geschult werden. Kontinuierliches, risikobasiertes Compliance-Geschäftspartner-Management. Kommunikation der ComplianceRichtlinien und -Prozesse an Geschäftspartner. Unternehmen müssen über einen robusten Whistleblowing-Prozess verfügen. Im Rahmen der regelmäßigen Evaluierung des Compliance-Programms sollte auch geprüft werden, ob bestimmte Risikobereiche in den Richtlinien, Kontrollen oder Schulungen nicht ausreichend berücksichtigt werden.

DOJ-Richtlinie zur Evaluierung von Kartellrechts-ComplianceProgrammen Die Leitlinien der DOJ-Kartellabteilung sind inhaltlich ähnlich strukturiert wie jene für Anti-Korruptions-ComplianceProgramme. Schlüsselelemente eines unternehmensweiten Kartellrechts-Compliance-Programms sind demnach eine der Compliance förderliche Unternehmenskultur, der richtige Tone from the Top, die Risikobewertung, Schulungs- und Kommunikationsmaßnahmen, Anreize zur Einhaltung von Richtlinien, ausreichende Personalressourcen, Überwachungsmaßnahmen, vertrauensvolle Berichtsmechanismen für Fehlverhalten, die Untersuchung von Vorfällen, die angemessene Sanktionierung von Fehlverhalten sowie die Vollständigkeit und kontinuierliche Weiterentwicklung des CMS. Das Kartellrechts-Compliance-Programm muss in die Geschäftsprozesse des Unternehmens integriert sein. Besonderes Augenmerk

legt die DOJ-Kartellabteilung bei ihren Untersuchungen auch darauf, ob eine Vernichtung von Dokumenten stattgefunden hat. Fragen, anhand derer das DOJ die Wirksamkeit eines Kartellrechts-Compliance-Programms überprüft, sind unter anderem:  Werden im Rahmen des CMS strafrechtliche Kartellverstöße behandelt und verboten?  Ermöglicht das CMS das Erkennen und unverzügliche Melden von Kartellrechtsverstößen?  Inwieweit war das Top-Management eines Unternehmens an der Kartellrechtsverletzung beteiligt?

OFAC-Rahmenwerk für ComplianceProgramme zur Einhaltung der Sanktionsbestimmungen Das vom U.S. Department of the Treasury’s Office of Foreign Assets Control („OFAC“) veröffentlichte „Framework for OFAC Compliance Commitments“ bietet einen risikobasierten Ansatz für die Schaffung eines wirksamen Programms zur Einhaltung von Sanktionsbestimmungen. Das OFAC beschreibt Ursachen, die zu Sanktionsverletzungen führen können, und hebt fünf wesentliche Komponenten für ein erfolgreiches Sanktionen-Compliance-Programm hervor:  Das Management stellt angemessene Ressourcen zur Verfügung und nimmt Verstöße gegen OFAC-Sanktionsbestimmungen ernst.  Compliance Risk Assessment in Bezug auf mögliche Verstöße gegen Sanktionsbestimmungen.  Interne Kontrollen, die die Identifizierung, Führung und Berichterstattung über die vom OFAC regulierten Aktivitäten ermöglichen.

 

Prüfung und Auditierung zur Identifikation von Schwachstellen. OFAC-bezogenes Trainingskonzept.

Anreize zur Kooperation mit Ermittlungsbehörden Im März 2019 wurde die FCPA Corporate Enforcement Policy dahingehend angepasst, dass Unternehmen, die gegen den FCPA verstoßen haben, in Aussicht gestellt wird, das Bußgeld unter folgenden Voraussetzungen um 50 Prozent unter dem Mindestbußgeld gemäß U.S. Sentencing Guidelines zu reduzieren:  Der Verstoß wird zeitnah, freiwillig und vollständig gemeldet.  Das Unternehmen kooperiert umfassend mit den Ermittlungsbehörden.  Das Unternehmen ist zeitnah um die Behebung des Problems bemüht.  Der Verstoß ist nicht besonders schwerwiegend. Sollte darüber hinaus noch bis spätestens zum Abschluss der DOJ-Untersuchungen auch ein effektives CMS implementiert worden sein, kann auch von der Überwachung durch einen Monitor abgesehen werden.

„Evaluation of Corporate Compliance Programs” vom April 2019 ist unter folgendem Link abrufbar: https://www.justice.gov/criminal-fraud/ page/ﬁle/937501/download?mod=djemRiskCompliance. „Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations” vom Juli 2019 ist unter folgendem Link abrufbar: https:// www.justice.gov/atr/page/ﬁle/1182001/download. „A Framework for OFAC Compliance Commitments” ist unter folgendem Link abrufbar: https:// www.treasury.gov/resource-center/sanctions/ Documents/framework_ofac_cc.pdf.

Der Autor

Mag. Rudolf Schwab, MBA ist Certiﬁed Compliance Professional und bei der A1 Telekom Austria Group in den Bereichen Compliance Prävention und Kapitalmarkt Compliance tätig.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 41

3/2019

8/26/2019 6:37:30 PM

Das war der 13. Österreichische Anti-Korruptions-Tag Die inhaltlichen Schwerpunkte des Anti-Korruptions-Tages des Bundesamtes zur Korruptionsprävention und Korruptionsbekämpfung (BAK) lagen heuer auf den Themen Compliance im Vergabe- und Beschaffungswesen der öffentlichen Verwaltung sowie dem Aktionsplan zur Nationalen Anti-Korruptionsstrategie.

Gleich eines vorweg: Im Grunde genommen sollte es bei Beschaffungen in der öffentlichen Verwaltung gar nicht zu Verstößen kommen. Dafür sorgt schließlich das Vergaberecht. Exakter, das Bundesvergabegesetz 2018, das bereits bestehende Regelungen ergänzt, die Vorbereitung von Vergabeverfahren enthält, Ausschlussgründe benennt und selbst einen Abschnitt für die vergaberechtliche Selbstreinigung bereitstellt. Was das Thema so komplex macht, so führte Dr. Thomas Ziniel (VfGH) auf dem 13. AK-Tag des BAK1 aus, ist die Tatsache, dass sich der Regelungsgegenstand Vergaberecht immer weiter ausdehnt und sich

DIE AUTORIN Brigitte Slepicka, BA MA MA, ist seit Anfang 2004 Mitarbeiterin des Bundesamtes zur Korruptionsprävention und Korruptionsbekämpfung (BAK) im Bundesministerium für Inneres, wo sie sich seit mehreren Jahren den Themen Compliance, Wertemanagement und Werteprozesse widmet.

auch auf andere Bereiche wie beispielsweise auf Bestimmungen zur Markterkundung, Vertragsänderungen und -kündigungen, erstreckt. Dem konterte Prof. Dr. Severin Glaser (WU Wien) mit dem Argument, dass doch der Wettbewerb im Vordergrund steht und vom Bieter außer Kraft gesetzt werden kann. Das wiederum ermöglicht allerdings eine Vielfalt an Möglichkeiten strafbaren Verhaltens sowohl im öffentlichen wie im privaten Sektor. Besonders beliebt sind die Straftatbestände der Untreue oder der Submissionsbetrug.

Der Faktor Mensch im Beschaffungsprozess Präsident Dr. Wolfgang Peschorn (Finanzprokuratur) plädierte in seinem Vor-

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 42

trag einerseits für saubere Beschaffungsmaßnahmen und Handlungssicherheit durch die bestehenden haushaltsrechtlichen Vorgaben und andererseits die klare Verantwortungszuweisung für öffentliche Beschaffungen durch das Festlegen zwingender und nicht abdingbarer Vertragsbestimmungen. Auch die Transparenz der Anbieter und ihrer Kontakte oder das konkrete Hinterfragen von Querverbindungen hilft präventiv gegen schwer nachvollziehbare Gegengeschäfte oder sonstige Interessenskonflikte. Einen wesentlichen Anteil an Compliance bringen eindeutige organisatorische Rahmenbedingungen: Die Beschaffungsstrategie und -verantwortung sollte mit Hilfe einer Beschaffungsrichtlinie festgelegt werden, der Beschaffungsprozess von internen Kontrollsystemen und einem Risikomanagementsystem umfasst werden und praktische E-Vergabe-Tools sollten trotz hoher Qualitätsstandards in einem reflexiven Prüfungsprozess enthalten bleiben. Dennoch, argumentierten Dr. Rene Wenk (Rechnungshof) und Dr. Peschorn, zählt der Mensch im Gesamtzusammenhang am meisten, wenn es um die saubere Handhabung dieses sensiblen Themas geht. Eine gegenseitige Vorbildwirkung und der Strategie des „Tone from the Top“ bleibt neben einer glasklaren Transparenz das mächtigste Tool einer praktisch orientierten Korruptionsprävention.

Diskussion: Digitalisierung & Korruption Im Rahmen des Kamingesprächs erörterten Mag.a Karin Mair (Deloitte), Mag.a Ursula Rosenbichler (BMöDS), DDr. Alexander Petsche (Baker McKenzie) und Mag. Dr. Daniel Weselka (BMBWF) in Begleitung des Moderators Wolfgang

Keck die Kernfrage „Ist Digitalisierung Problem oder Lösung für Korruption, Prävention und Integrität?“ Dabei trat deutlich die Bedeutung der Grundhaltung der Menschen und ihrer Handlungsweisen zutage, die notwendig sind, um Korruption nachhaltig abzuschaffen. Digitale Transformation und Digitalisierung generell werden das Problem Korruption nicht von sich aus abschaffen können, aber je klarer der Mensch das Bild zu diesem Problem zeichnet, umso besser kann Digitalisierung intelligent und unterstützend dagegen eingesetzt werden. Die Diskussion brachte deutlich zutage, dass es weiterhin primär um die Grundhaltung des einzelnen Menschen und die damit verbundene Kommunikation gehen wird. Die aktuelle Gestaltungshoheit des Menschen und seiner Kultur muss unermüdlich eingefordert und aus den daraus geformten Überlegungen klare Ziele formuliert werden. Je klarer der Mensch das Bild von seiner Idee zur Korruptionsprävention zeichnet, umso sinnvoller und anwendbarer werden die digitalen Effekte. „Wir müssen mehr hinsehen“, appellierte Dr. Alexander Picker (Transparency International): Um Digitalisierung für den fehlerbehafteten Menschen wertvoll zu machen, müssen Hausverstand und Barrieren für Korruption bewusst eingebaut werden. Dazu muss die reale Welt genau auf ihre Korruptionsmechanismen hin geprüft und anschließend mit Indikatoren von Compliance verglichen werden, um Probleme aufzudecken und bewältigen zu können.

Praxisbeispiele: Compliance im öffentlichen Sektor Mit dem Projekt „Transparente Gemeinde“ zeigte Dr. Johannes Schmid vom

www.compliance-praxis.at

8/26/2019 6:37:30 PM

Compliance Netzwerk News Praxis

Österreichischen Städtebund, von welch überragender Bedeutung Vertrauen in die öffentliche Verwaltung ist. Um das Vertrauen beispielsweise auf kommunaler Ebene zu erschüttern, braucht es keinesfalls einen ausgewachsenen Bestechungsskandal, es reicht bereits ein Konflikt aus schädlichen Interessen im finanziellen, wirtschaftlichen oder persönlichen Bereich. Als Lösungsansätze bieten sich die Implementierung eines ComplianceManagement-Systems (CMS), die Einrichtung einer Internen Revision oder auch personelle Durchgriffsrechte an. Diesem Vorschlag schloss sich auch Dr. Eleonore Dietersdorfer (Bundeskanzleramt) an. Gemeinsam mit ihrem Team ist es ihr gelungen, im Bundeskanzleramt erfolgreich ein CMS einzuführen. Neben den Grundlagen Strategie, Risikoanalyse und Verhaltenskodex sowie Information, Beratung und Schulungen sieht sich das Bundeskanzleramt Ressort- und gebietsköperschaftsübergreifend verantwortlich: Neben der Umsetzung der genannten CMS-Schwerpunkte wird ein wesentlicher Mehrwert durch ihre regelmäßige Evaluierung generiert. Eine wichtige Maßnahme, um die geforderte Transparenz und den öffentlichen Diskurs zu einer

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 43

nachhaltigen Korruptionsprävention und Compliance weiterzuentwickeln, ist die Nationale-Anti-Korruptions-Strategie (NAKS). Mag. Gregor Weber vom BMöDS wies mit Nachdruck darauf hin, dass es immer wichtiger wird, sich mit der kreativen Vermittlung von Compliance-Inhalten zu befassen. So haben spielerische Komponenten wie das Quiz oder neuartige E-Learning-Konzepte bereits Einzug in die Schulungssysteme gehalten. Mag. Mirjam Steurer berichtete über die Handhabung des Risikomanagements im BMASGK. Die Risikobeschreibung und die qualitative Bewertung der Auswirkungsdimensionen von Risiken nehmen dort einen wesentlichen Anteil in der Gesamtanalyse ein. Einfache und wirksame Maßnahmen von Korruptionsprävention präsentierte Mag. Gerhard Sieber vom BMNT. Auslöser für den Aufbau eines umfassenden strategischen Konzepts im BMNT war die Compliance-Prüfung durch den Rechnungshof. Nach einigen ersten Schritten, die sich vor allem um die Information aller Mitarbeiter über die wichtigen Compliance-Themen drehten, kam es zur Aufnahme von Compliance in die Ressour-

cen-, Ziel- und Leistungspläne und ihre Eingliederung in die Grundausbildung. Dienstrechtlich wesentliche Inhalte fanden ihren Niederschlag in eigens entwickelten Formularen und in der Erweiterung der Unterlagen zum Mitarbeitergespräch. Dr. Christian Manquet (BMfVRDJ) rundete die Vortragsreihe mit einem Überblick zu den erreichten Maßnahmen im Rahmen der NAKS ab und führte die Teilnehmer mit Nachdruck zur Notwendigkeit einer konsequenten Korruptionsprävention und Korruptionsbekämpfung im Sinne einer evaluierten Fortführung eines nächsten Aktionsplanes hin. Der 13. Österreichische Anti-Korruptions-Tag stand somit in einem multiperspektivischen Fokus von Strafbarkeit im Vergabe- und Beschaffungswesen bis hin zu theoretischen und praktisch umgesetzten Compliance-Ansätzen in der Nationalen Anti-Korruptions-Strategie. Die vorgesehene Publikation der in diesem Artikel zusammengefassten Fachbeiträge lässt ein Werk mit fundiertem theoretischem und praktischem Wissen erwarten.

Der 13. Anti-Korruptions-Tag des BAK fand am 14. und 15. Mai 2019 in St. Pölten statt.

3/2019

8/26/2019 6:37:30 PM

Quergelesen und Aufsichtsräten ein. Damit bietet das Handbuch Compliance nicht nur einen fundierten Einstieg in die Thematik, sondern kann als Nachschlagewerk für die tägliche Compliance-Arbeit dienen.

Petsche/Mair (Hrsg) Handbuch Compliance LexisNexis, 3., neu bearbeitete Auflage, 2019 902 Seiten ISBN: 978-3-7007-6745-9 Preis: EUR 194 (A) Ende Juni 2019 ist bei LexisNexis das Standardwerk zum Compliance Management in dritter, weitgehend neu gefasster Auflage erschienen: das „Handbuch Compliance“. Das umfassende, von Alexander Petsche und Karin Mair herausgegebene, Werk geht zunächst auf die Verankerung von Compliance im Unternehmen ein und beschreibt die typischen Tätigkeiten und Verantwortlichkeiten des Compliance Officers. Im zweiten Hauptteil behandeln führende Rechtsexperten die materiellen Compliance-Gebiete, die von Arbeitsrecht, Datenschutz, Strafrecht, Kartellrecht, Umweltrecht und öffentlichem Recht bis hin zu Produkthaftung und Produktsicherheit, Kapitalmarkt, Export sowie Tax Compliance reichen. Ein eigenes Kapitel ist dem Thema „Artificial Intelligence und Compliance“ gewidmet. Im Branchenfokus des Buchs steht Compliance im Gesundheitswesen, während ein besonderer Schwerpunkt das rechtliche Umfeld interner Untersuchungen beleuchtet und detailliert die Möglichkeiten (computer-)forensischer Analysemethoden darstellt. Abschließend geht das Werk auf die strafrechtliche Verantwortung von Compliance Officern

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 44

Märkten dargestellt: neben Großbritannien, USA und der Schweiz wird auch Österreich speziell berücksichtigt.

Gehra/Gittfried/Lienke (Hrsg) Prävention von Geldwäsche und Terrorismusfinanzierung C.F. Müller, 2019 674 Seiten ISBN: 978-3-8114-4717-2 Preis: EUR 122,40 (A)

Beatrix Weber/Stefanie Lejeune Compliance in Hochschulen Handbuch für Universitäten, Hochschulen und außeruniversitäre Forschungseinrichtungen Erich Schmidt Verlag, Neuauflage 2019 358 Seiten ISBN: 978-3-503-18739-3 Preis: EUR 72 (A)

Einer Berechnung von Boston Consulting zufolge mussten die 50 größten Banken in Europa und den USA zwischen 2012 und 2016 zusammen mehr als 225 Mrd Euro an Strafzahlungen für unzureichende Compliance im Bereich Geldwäscheund Terrorismusbekämpfung aufwenden. Nach jüngsten Skandalen um Defizite bei der Prävention von Geldwäsche in (Ost-) Europa wollen nun auch die europäischen Aufsichtsbehörden die Aktivitäten der Finanzinstitute genauer überwachen. Dieses von Praktikern geschriebene neue Handbuch soll Verantwortlichen dabei helfen, die erforderlichen Verfahren, Systeme und Kontrollen in ihrem Unternehmen zu implementieren. Die Herausgeber legten insbesondere darauf Wert, auch praktische Aspekte des Risikomanagements zu beleuchten. Während große Teile des Buches auf in Deutschland anwendbare Gesetze abstellen, werden länderspezifische Besonderheiten in wichtigen ausländischen

Hochschulen wandeln sich heute von klassischen Verwaltungseinheiten zu modernen Wissenschaftsbetrieben mit unternehmerischen Akzenten, um im internationalen Wettbewerb um Studierende und Forschungsmittel zu bestehen. Allerdings setzen ihnen die gesetzlichen Vorgaben beim Eingehen unternehmerischer Risiken enge Grenzen. Wie der Aufbau eines wissenschaftsadäquaten Compliance-Managements gelingt, das die Einhaltung rechtlicher Pflichten, die organisatorische Effizienz und die Kommunikation aller Beteiligten verbessert, erfahren Leser in diesem Buch. Für alle, die in Universitäten, Hochschulen und außeruniversitären Forschungseinrichtungen mit Fragen zu Recht, Compliance, Datenschutz, Korruptionsprävention, Personal, Technologietransfer, Prozessorganisation und der strategischen Ausrichtung der Hochschule befasst sind, eine absolute Empfehlung. Autor: Mag. Klaus Putzer

www.compliance-praxis.at

8/26/2019 6:37:34 PM

Unsere Netzwerkpartner:

ComplianceNetzwerk

Austrian Standards Austrian Standards ist das österreichische Kompetenzzentrum für Normen und Regelwerke und bietet seinen Kunden und Stakeholdern eine vielfälঞge Pale e an Dienstleistungen. Unter der Marke Fair Business® Compliance CerঞCcate führt Austrian Standards ZerঞCzierungen und Prüfungen nach den Standards ISO 19600 und ISO 37001 durch.

BIConcepts

BigData & Analyঞcs | Performance Management | Business Intelligence Wenn es darum geht, Daten – Informaঞonen – Wissen in Ihrem Unternehmen zu managen, Ihre Compliance zu überwachen, Entscheidungen fundierter und besser zu tre@en und damit Ihre Performance zu steigern, bietet BIConcepts die passende Beratung und die Umsetzung mit hochwerঞgen So[ware-Lösungen an.

Business Circle

Konferenzen und Seminare Mit über 600 Veranstaltungen pro Jahr ist Business Circle Österreichs größtes Konferenzunternehmen. Den Au>au von Compliance-Organisaঞonen in österreichischen Unternehmen unterstützt Business Circle mit der Jahrestagung „Compliance Now!“ sowie dem in Österreich einzigarঞgen zerঞCzierten Lehrgang zum Compliance OLcer.

PwC Österreich Ihr Ziel ist unser Ziel.

PwC bietet branchenspeziCsche Dienstleistungen in den Bereichen Wirtscha[sprüfung, Steuerberatung und Unternehmensberatung. So scha@en wir für unsere Kunden den Mehrwert, den sie erwarten. Mehr als 236.000 Mitarbeiter in 158 Ländern weltweit tragen in unserem internaঞonalen Netzwerk mit ihren Ideen, ihrer Erfahrung und ihrer Experঞse dazu bei, neue Perspekঞven und praxisnahe Lösungen zu entwickeln.

SAI Global

Compliance-Beratung | Compliance-Training SAI Global ist Anbieter von integrierten Risikomanagement-Lösungen und Compliance-Schulungen für Unternehmen, die proakঞv ihre Risiken gestalten und ihre Unternehmenskultur verändern möchten.

Die SER-Gruppe So[ware-Herstellung & IT-Dienstleistungen SER ist größter unabhängiger deutscher Hersteller und Anbieter von Lösungen für integriertes Enterprise Content Management (iECM). SER bietet Lösungen zur Einhaltung Crmeninterner und gesetzlicher Compliance Vorschri[en.

targens GmbH Compliance Soluঞons – Zukun[sfähige Lösungen auf höchstem Niveau targens ist als IT-Expertenhaus führender Anbieter von Beratung, So[ware- und Produktlösungen. Auf die ComplianceKompetenz in Beratungs- und Implemenঞerungsprojekten in Verbindung mit der mark ührenden So[ware SMARAGD vertrauen 1.600 Unternehmen aus allen Branchen in mehr als 50 Ländern.

Taylor Wessing Innovaঞve | Proacঞve | Ambiঞous for clients | Insঞncঞvely commercial Taylor Wessing ist eine führende internaঞonale Anwaltssozietät, die ihren Mandanten innovaঞve Lösungen einschließlich maßgeschneiderter Compliance-Beratung bietet, um ihre ambitionierten Ziele zu erreichen. Die Offices in Wien, Budapest, Prag, Brünn, Braঞslava, Warschau und Kiew bilden das CEE/SEE Competence Centre von Taylor Wessing.

Sie möchten Netzwerkpartner werden? www.compliance-praxis.at/Netzwerk Compliance_Praxis_03_2019_(2015)_v5.indd 45

8/26/2019 6:37:35 PM

ÖCOV forciert Netzwerkaktivitäten mit afﬁnen Berufs- und Fachverbänden Der Österreichische Compliance Officer Verbund (ÖCOV) ist Gründungsmitglied des European Network for Compliance Officers (ENFCO). Kooperationen mit affinen Berufs- und Fachverbänden sollen die Angebote des ÖCOV für seine Mitglieder noch attraktiver machen und gleichzeitig den Blick über den eigenen Tellerrand ermöglichen.

staltungen gefördert. Die Funktion des BCM-Stadtsprechers Wien hat Rudolf Schwab übernommen. Informationen zum BCM sind unter www.bvdcm.de abrufbar.

Netzwerkaktivitäten innerhalb Österreichs

Vlnr: Rudolf Schwab (ÖCOV), Bettina Knötzl (TI-AC), Eva Graf (ÖCOV), Jacqueline Mlinarcsik (ÖCOV), Martin Walter (TI-AC)

European Network for Compliance Ofﬁcers (ENFCO) Das Europäische Netzwerk für Compliance Officer (ENFCO) hat sich zum Ziel gesetzt, den Mitgliedern der nationalen Verbände auf europäischer Ebene eine Plattform zur verstärkten Zusammenarbeit zu bieten. Dabei verfolgt ENFCO folgende Ziele:  Austausch von Best Practices und von Informationen über (bevorstehende) Compliance-Vorschriften aus der EU und den einzelnen Staaten,  Förderung und Stärkung der Professionalisierung und des Berufsbildes von Compliance-Experten,  Erleichterung des Zugangs zu Compliance-Experten in anderen europäischen Ländern, sowie

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 46



Förderung von Veranstaltungen der Verbände im Ausland. Dem ENFCO gehören derzeit Compliance Berufsverbände aus Deutschland, Frankreich, Griechenland, Österreich und Slowenien an. Den ÖCOV vertritt Roman Sartor in den ENFCO-Gremien. Nähere Informationen finden sich unter www. enfco.eu.

Engere Zusammenarbeit mit dem deutschen Berufsverband der Compliance Manager (BCM)

Die ÖCOV-Arbeitsgruppen Organisation und Datenschutz und das Institut für Interne Revision Österreich (www. internerevision.at) waren Gastgeber einer Veranstaltung, die der Prüfung von Compliance-Management-Systemen gewidmet war. René Wenk stellte den Leitfaden des Rechnungshofs zur Prüfung von Korruptionspräventionssystemen vor und Martin Eckel gab einen Überblick über die Fair Business Compliance Zertifizierung von Austrian Standard gemäß ISO 19600 und ISO 37001. Die ÖCOV-Arbeitsgruppe Compliance-Trainings und Kommunikation traf sich zu einem Erfahrungsaustausch mit der Arbeitsgruppe Compliance von Transparency International, Austrian Chapter, kurz TI-AC (www.ti-austria.at). Brigitta John, Vorstandsmitglied der Risk Management Association (rma-ev. org) und Leiterin der ÖCOV-Arbeitsgruppe Datenschutz, hielt einen informativen Impulsvortrag zum Compliance Risk Assessment bei einer gemeinsamen Veranstaltung der ÖCOV-Arbeitsgruppen Organisation und Datenschutz. Autor: Mag. Rudolf Schwab

Mit der Bestellung eines eigenen BCMStadtsprechers Wien wird die Zusammenarbeit zwischen den Arbeitsgruppen des BCM und des ÖCOV und die Durchführung gemeinsamer Veran-

www.compliance-praxis.at

8/26/2019 6:37:35 PM

Compliance Netzwerk News Praxis

Der Pharmakonzern Merck hat mit 1. Juli zwei zentrale Führungspositionen auf Konzernebene neu besetzt: Tina Sandmann hat die Leitung des Bereichs Internal Auditing übernommen. Sie folgt damit auf Barbara Weiland, die zum selben Datum Chief Compliance Ofﬁcer geworden ist und an Friederike Rotsch, Group General Counsel und Leiterin Legal und Compliance, berichtet. Weiland begann ihre Karriere bei Merck 2005 in der Führungskräfteentwicklung. Anschließend war sie bei Human Resources für die weltweite Betreuung der Konzernfunktionen zuständig. Zuvor arbeitete Weiland im Personalbereich der Lufthansa. Sie hat in Würzburg Wirtschaftspsychologie studiert.

Anfang Juli hat DeutscheBank-Chef Christian Sewing eine „grundlegende Transformation“ des Kreditinstituts verkündet. So wird unter anderem Stefan Simon in den Vorstand einziehen. Als Chief Administrative Ofﬁcer (CAO) wird er für die Beziehungen zu den Aufsichtsbehörden und die Rechtsabteilung verantwortlich sein. Simon war seit August 2016 Mitglied des Aufsichtsrats der Deutschen Bank und leitete dessen Integritätsausschuss. Der 49-Jährige ist Anwalt und Steuerberater und war Partner bei Flick Gocke Schaumburg. Er lehrt seit 2008 als Honorarprofessor an der Universität Köln und ist ausgewiesener Experte für Governance, Compliance und Unternehmensrecht.

Die Direktbank ING in Österreich hat im Juni ihr General Management neu strukturiert: Als neuer Chief Risk Ofﬁcer übernimmt Jan Jelovsek die Bereiche Financial- und Non-Financial Risk inklusive Compliance und Anti Financial Economic Crime. Der gebürtige Slowene ist seit Ende 2014 bei der ING in Österreich beschäftigt – zuletzt als Head of Risk Management. Zuvor war er unter anderem an der Deutschen Börse in Frankfurt sowie für die slowenische und österreichische Nationalbank tätig. Der 37-Jährige hat nach seinem BWL-Studium in Ljubljana, Graz und Berlin in den USA eine postgraduale Spezialisierung für Risk Management absolviert.

Gundel Labak ist seit 1. April 2019 neuer Head of Legal & Compliance der Rosenbauer International AG, wie das Unternehmen Anfang Juli bekanntgegeben hat. In dieser Funktion zeichnet sie für die Bereiche Recht, Compliance, Risiko- und Beteiligungsmanagement verantwortlich. Die erfahrene Unternehmensjuristin verfügt über eine internationale Ausbildung und arbeitete in einer renommierten, amerikanischen Anwaltskanzlei. Vor ihrem Wechsel zu Rosenbauer war Labak mehrere Jahre in der Rechtsabteilung des österreichischen Nahrungsmittel- und Dienstleistungskonzerns VIVATIS Holding AG tätig und baute dort das ComplianceManagement-System auf.

Köpfe & Karriere

Leserbriefe erwünscht! Senden Sie uns ein E-Mail an redaktion@compliance-praxis.at. Wir freuen uns auf einen regen Austausch mit unseren Leserinnen und Lesern.

www.compliance-praxis.at

Compliance_Praxis_03_2019_(2015)_v5.indd 47

3/2019

8/26/2019 6:37:35 PM

Veranstaltungen Bezeichnung

Beschreibung

Details

Veranstalter

Compliance Solutions Day

Der Compliance Solutions Day ﬁndet bereits zum sechsten Mal statt und steht in diesem Jahr unter dem Motto „Kalkuliertes Risiko – Compliance in unsicheren Zeiten.“ Highlight des Compliance Solutions Day 2019: Der ehemalige deutsche Finanzminister Theo Waigel im Gespräch mit Rainer Nowak, Chefredakteur und Herausgeber der Presse.

Datum: 25. 9. 2019 Ort: Apothekertrakt Schloss Schönbrunn, Schönbrunner Schlossstraße 45, 1130 Wien, Zeit: ab 8:00 Uhr

LexisNexis – www.compliancesolutions-day.at, E-Mail: events@lexisnexis.at

Jahrestagung Datenschutz

Die Jahrestagung bietet Ihnen die Möglichkeit von ersten Erfahrungsberichten nach dem Inkrafttreten und Informationen zu aktuellen Neuerungen im Datenschutz zu proﬁtieren. Verschaffen Sie sich ein umfangreiches Update im rechtlichen und technischen Datenschutz und diskutieren Sie Problemfragen direkt mit den ExpertInnen!

Datum: 8.–9. 10. 2019, Ort: ARS Seminarzentrum, Schallautzerstraße 2–4, 1010 Wien, Zeit: 9–18 Uhr bzw 9–17 Uhr

ARS – www.ars.at – ofﬁce@ars.at

Täter & Warnsignale

Blickwinkel von Wirtschaftsstraftätern einzunehmen und die Vorgehensweisen der Delinquenten „verstehen“ zu lernen, erweisen sich beim Assessment des Kontrolldesigns oder bei der Festlegung der Prüfschritte als vorteilhaft.

Datum: 8. 10. 2019, Ort: Akademie Interne Revision, Schönbrunner Straße 218, 1120 Wien, Zeit: 9–17 Uhr

Institut für Interne Revision Österreich – www.internerevision.at – akademie@internerevision.at

Praxislehrgang Compliance & Geldwäsche

Datum: 14.–17. 10. 2019, Ort: Marriott Renaissance Wien Hotel, Ullmannstraße 71, 1150 Wien, Zeit: 9–17 Uhr

imh – www.imh.at – anmeldung@imh.at

Plötzlich Compliance Ofﬁcer

Plötzlich stehen Sie vor der Herausforderung, die Position als Compliance Ofﬁcer zu bekleiden. Wie Sie die ersten Hürden sicher meistern und Compliance in Ihrem Unternehmen nachhaltig etablieren, erfahren Sie in diesem Seminar.

Datum: 15. 10. 2019, Ort: Novotel München City, Hochstraße 11, 81669 München

BeckAkademie Seminare – Verlag C.H.BECK oHG – www.beck.de, E-Mail: seminare@beck.de

Whistleblowing – Implementierungstipps für Ihr Unternehmen

Dieses Seminar verschafft Ihnen in kurzer Zeit einen umfassenden Einblick in das Thema Whistleblowing und informiert Sie über rechtliche und technische Aspekte!

Datum: 25. 10. 2019, Ort: ARS Seminarzentrum, Schallautzerstraße 2–4, 1010 Wien, Zeit: 9:15–12:00 Uhr

ARS – www.ars.at – ofﬁce@ars.at

PriSec – Privacy & Security Jahresforum

Die PriSec vereint die Themen Sicherheit & Datenschutzrecht im Unternehmen: Dieses wachsende Spannungsfeld erfordert zukünftig eine noch intensivere Zusammenarbeit der Bereiche Datenschutz, Compliance und IT.

Datum: 12.–13. 11. 2019, Ort: Seehotel Rust, Am Seekanal 2–4, 7071 Rust

Business Circle – www.businesscircle.at – kuelper@businesscircle.at

Lehrgang: Compliance nach ISO 19600 und ISO 37001

Bereiten Sie sich durch Besuch dieses Lehrgangs auf ein internes Audit von Compliance Management Systemen in Ihrer Organisation oder Ihrem Unternehmen vor. Die Basis des Lehrgangs bilden die ÖNORM ISO 19600 „Compliance-Management Systeme – Richtlinien“ und die neue ISO 37001 „Anti-bribery management systems“.

Datum: 18.–.19. 11. 2019, Ort: Austrian Standards Meeting Center, Heinestraße 38, 1020 Wien, Zeit: 9:00 – 17:00 Uhr

Austrian Standards – www.austrian-standards.at, E-Mail: seminare@austrianstandards.at

Compliance now!

Zum 9. Mal bringt das Jahresforum „Compliance now!“ wieder als Meisterklasse die engagiertesten Compliance Ofﬁcer des Landes zusammen.

Datum: 28.–29. 11. 2019, Ort: Seehotel Rust, Am Seekanal 2–4, 7071 Rust

Business Circle – www.businesscircle.at – kuelper@businesscircle.at

Mehr unter: www.compliance-praxis.at/veranstaltungen

3/2019

Compliance_Praxis_03_2019_(2015)_v5.indd 48

www.compliance-praxis.at

8/26/2019 6:37:37 PM

Software für Steuer-IKS und Risikomanagement made in Austria easy, weil ... modular einsetzbar effizienter und sicherer als Excel ©WWW.RAIMO.AT

lückenlose Überwachung von Prozessen vollintegrierbar in Outlook, Lotus Notes u.a. selbsterklärend und intuitiv zu bedienen

Kurz: easy, weil wirklich easy to use eine Software von

www.easygrc.at

EASY-TO-USE SOFTWARE

xxxxx_Fecton_easyGRC_Inserat_070819_final.indd 1

Handbuch Compliance

07.08.19 14:29

Award JETZT BESTELLEN!

Weil Vorsprung entscheidet.

E-Mail: kundenservice@lexisnexis.at | Tel.: +43-1-534 52-0 Versandkostenfreie Lieferung bei Bestellung unter shop.lexisnexis.at

mit freundlicher Unterstützung durch

Weil Vorsprung entscheidet.

www.compliance-praxis.at

Ausgabe 3 | 2019

Compliance Inside Der „perfekte“ Verhaltenskodex

Heuer bereits zum 6. Mal!

Schritt für Schritt zum maßgeschneiderten Code of Conduct

Compliance Soluঞons Day 2019

Im Brennpunkt Cybercrime

Die besten Lösungsanbieter verraten ihre Praxiserfahrungen. 1130 Wien

Apothekertrakt – Schloß Schönbrunn

„Cyber Threat Intelligence“ Gefahr durch dateilose Schadsoftware

25. September 2019

„Digitales Vermummungsverbot“ im Compliance-Check

Mi woch, 8:00 – 18:00 Uhr

Kalkuliertes Risiko – Compliance in unsicheren Zeiten

Versicherungen

IDD – ein Jahr danach

ComplianceSoluঞonsDay

Medienpartner

Details unter: www.csd2019.at

„Es lohnt sich, anständig zu sein“ Elder Statesman Theo Waigel im Interview

Netzwerkpartner

BIConcepts

Compliance Praxis 3_2019

Articles inside

Köpfe & Karriere

ÖCOV forciert Netzwerkaktivitäten mit affi nen Berufs- und Fach verbänden

Quergelesen

Wann werden Compliance-Programme international anerkannt?

Das war der 13. Österreichische Anti-Korruptions-Tag

Ehrlichkeit und Politik sind keine Gegensätze

IDD – ein Jahr danach

Strafrechtliche Risiken von Sponsoring durch Kapitalgesellschaften

Das „digitale Vermummungs verbot“ im Compliance-Check

Compliance Offi cer – Von der Pfl icht zur Kür

Schritt für Schritt zum „perfekten“ Verhaltenskodex

Dateilose Schadsoftware: Eine unsichtbare Gefahr

Risikomanagement in einer digitalen Welt mit „Cyber Threat Intelligence

Monitoring & Evaluation: Wie wirkungsvoll sind Anti-Korruptionsstrategien von internationalen Hilfsorganisationen?

Verantwortungsvoller Einsatz von Künstlicher Intelligenz als ComplianceAufgabe?

IIASA-Studie erklärt, warum sich Korruption so schwer ausrotten lässt

Tech for Trust“: Antikorruption im Spannungsfeld von Digitalisierung und Integrität