Das vorliegende aktualisierte und überarbeitete Werk befasst sich mit unternehmensorganisatorischen Maßnahmen, die diesen Verstößen entgegenwirken und rechts- und regelkonformes Verhalten in den Unternehmen etablieren sollen. Aufgrund der Nähe des Themas zum Risikomanagement und dem Internen Kontrollsystem ist Compliance sinnvollerweise nur interdisziplinär, also in Kooperation zwischen Juristen und Betriebswirten darstellbar. Das vorliegende Werk nimmt diesen Gedanken auf. Neben grundsätzlichen Überlegungen zu rechtlichen Aspekten der Unternehmensführung, dem Aufbau eines Compliance-Management-Systems und dem Anti-FraudManagement werden spezifische Compliance-Strategien für die wesentlichen Rechtsbereiche in der Unternehmerpraxis dargestellt: Vom Strafrecht und Kartellrecht über IP-, IT-, Datenschutz- und Arbeitsrecht, Öffentliches Wirtschafts- und Umweltrecht sowie Steuerrecht bis hin zu den Sondermaterien Kapitalmarkt, Banking & Finance sowie Versicherungen.
Michael Ahammer
Tibor Fabian
Helge Löffler
Dr. Johannes Barbist, M.A. (Limerick) ist Rechtsanwalt und Partner bei BINDER GRÖSSWANG Rechtsanwälte Wien-Innsbruck. Als Leiter der Abteilung Öffentliches Wirtschaftsund Umweltrecht befasst er sich laufend mit Compliance-Fragen in seinen Schwerpunktgebieten. Mag. Michael Ahammer ist Wirtschaftsprüfer und Steuerberater sowie Partner der KPMGGruppe Österreich. Seine Tätigkeitsschwerpunkte sind die Prüfung von Jahres- und Konzernabschlüssen, Umgründungen, M&A, Internes Kontrollsystem und Risikomanagement, ebenso Handels-, Gesellschafts- und Unternehmenssteuerrecht. Dr. Tibor Fabian ist Rechtsanwalt und Partner bei BINDER GRÖSSWANG Rechtsanwälte Wien-Innsbruck. Seine Tätigkeitsschwerpunkte liegen im Bank-, Kapitalmarkt- und Immobilienrecht sowie in Strukturierten Finanzierungen und Derivaten. Dr. Helge Löffler ist Wirtschaftsprüfer und Steuerberater sowie Partner der KPMG-Gruppe Österreich. Seine Tätigkeitsschwerpunkte liegen in der Prüfung von Jahres- und Konzernabschlüssen, internen Kontroll- und Risikomanagementsystemen sowie in der Evaluierung im Sinne des Corporate Governance Kodex. ISBN 978-3-7007-6233-1
Barbist | Ahammer | Fabian | Löffler (Hrsg.)
Johannes Barbist
Compliance in der Unternehmenspraxis
Das Thema „Compliance“ ist mittlerweile in Österreich etabliert, gleichwohl kommt es nach wie vor zu massiven Verstößen gerade in den juristischen Hotspots (Kartell- und Strafrecht). Maßnahmen zur Gegensteuerung sind zwingend erforderlich.
2. Auflage
RECHTSPRAXIS Barbist | Ahammer | Fabian | Löffler (Hrsg.)
Compliance in der Unternehmenspraxis Mit zahlreichen Praxis-Tipps! Compliance-Management-Systeme Straf- & Kartellrecht Datenschutz- & Arbeitsrecht Umweltrecht IP- & IT-Recht Steuerrecht Spezifische Compliance für regulierte Unternehmen
2. Auflage
Barbist | Ahammer | Fabian | Lรถffler (Hrsg.)
Compliance in der Unternehmenspraxis 2. Auflage
Compliance in der Unternehmenspraxis Compliance-Management-Systeme Straf- & Kartellrecht Datenschutz- & Arbeitsrecht Umweltrecht IP- & IT-Recht Steuerrecht Spezifische Compliance für regulierte Unternehmen 2. Auflage von
Dr. Johannes Barbist, M.A. Mag. Michael Ahammer Dr. Tibor Fabian Dr. Helge Löffler
LexisNexis® Österreich vereint das Erbe der österreichischen Traditionsverlage Orac und ARD mit der internationalen Technologiekompetenz eines der weltweit größten Medienkonzerne, Reed Elsevier. Als führender juristischer Fachverlag deckt LexisNexis® mit einer vielfältigen Produktpalette die Bedürfnisse der Rechts-, Steuer- und Wirtschaftspraxis ebenso ab wie die der Lehre. Bücher, Zeitschriften, Loseblattwerke, Skripten, die Kodex-Gesetzestexte und die Datenbank LexisNexis® Online garantieren nicht nur die rasche Information über neueste Rechtsentwicklungen, sondern eröffnen den Kunden auch die Möglichkeit der eingehenden Vertiefung in ein gewünschtes Rechtsgebiet. Nähere Informationen unter www.lexisnexis.at
Bibliografische Information der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.
ISBN 978-3-7007-6233-1 LexisNexis Verlag ARD Orac GmbH & Co KG, Wien http://www.lexisnexis.at Wien 2015 Best.-Nr. 97.048.002 Alle Rechte, insbesondere das Recht der Vervielfältigung und Verbreitung sowie der Übersetzung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (durch Fotokopie, Mikrofilm oder anderes Verfahren) ohne schriftliche Genehmigung des Verlags reproduziert oder unter Verwendung elektronischer Systeme gespeichert, verarbeitet, vervielfältigt oder verbreitet werden. Es wird darauf verwiesen, dass alle Angaben in diesem Werk trotz sorgfältiger Bearbeitung ohne Gewähr erfolgen und eine Haftung des Verlags, der Herausgeber und der Autoren ausgeschlossen ist. Foto Barbist: BINDER GRÖSSWANG Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Ahammer: KPMG Services GmbH Foto Fabian: BINDER GRÖSSWANG Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Löffler: KPMG Services GmbH Druckerei: Prime Rate GmbH, Budapest
Vorwort Seit der 1. Auflage dieses Buches im September 2009 hat sich Compliance im Rahmen der Unternehmenspraxis stetig weiterentwickelt. Die praktische Umsetzung in den Unternehmen und Organisationen, aber auch die theoretische Auseinandersetzung mit diesem Thema nimmt deutlich zu. Daher war es für uns als Herausgeber und Autoren eine Selbstverständlichkeit und ein Anliegen, eine Aktualisierung, Überarbeitung und Erweiterung dieses Buches vorzunehmen. Ziel dieses Buches ist es, einen praxisbezogenen Einblick in das Management rechtskonformen Verhaltens im Unternehmen zu geben. Aufgrund der Nähe des Themas zum Risikomanagement und dem Internen Kontrollsystem ist Compliance sinnvollerweise nur interdisziplinär, also in Kooperation zwischen Juristen und Betriebswirten darstellbar. Wir konnten dafür wiederum ein hochkarätiges Autorenteam aus dem Kreis der Partner und Mitarbeiter von Binder Grösswang Rechtsanwälte und der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG sowie von Unternehmens- und Bankenseite gewinnen, ihnen gilt ein besonderer Dank. Den Sekretariaten unserer Kanzleien danken wir für die Schreibarbeiten, Frau Rebecca Wismeg für das Redigieren der Beiträge und die Zusammenstellung des Manuskripts sowie dem Verlag LexisNexis, im Besonderen Frau Mag. Daniela de Comtes, MSc. und Herrn Mag. Markus Gruber, für die schnelle und unbürokratische Zusammenarbeit. Das Manuskript wurde Ende August 2015 fertiggestellt. Spätere Veröffentlichungen konnten nur mehr vereinzelt eingearbeitet werden. Innsbruch – Linz – Wien, im September 2015
Johannes Barbist Michael Ahammer Tibor Fabian Helge Löffler
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
V
VI
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Inhaltsverzeichnis Vorwort .................................................................................................................... V Abkürzungsverzeichnis ......................................................................................... XVII Autorenverzeichnis .............................................................................................. XXIX I. ALLGEMEINES Compliance in der Unternehmenspraxis – eine Einführung (Johannes Barbist/Michael Ahammer) ........................................................................ 1 A. Einleitung ............................................................................................................. 1 B. Was Compliance meint ......................................................................................... 2 C. Inhalt des Buchs ................................................................................................... 3 Rechtliche Aspekte der Unternehmensführung (Markus Uitz/Thomas Schirmer) ....... 7 A. Einleitung ............................................................................................................. 7 B. Haftungsfallgruppen ............................................................................................. 8 1. Organisationsverschulden .............................................................................. 8 2. Auswahlverschulden ....................................................................................... 9 3. Instruktionsverschulden ................................................................................ 10 4. Kontroll- und Überwachungsverschulden ...................................................... 10 C. CMS ................................................................................................................... 11 1. Rechtspflicht zur Einrichtung eines CMS ....................................................... 11 2. Ausgestaltung des CMS ............................................................................... 13 3. Risiken definieren ......................................................................................... 14 4. Schwachstellen identifizieren ........................................................................ 15 5. Schwachstellen beheben .............................................................................. 15 6. Laufende Überprüfung sicherstellen ............................................................. 16 D. Schlussfolgerungen ............................................................................................. 16 Legal Risk (Tibor Fabian) ......................................................................................... 19 A. Einleitung ........................................................................................................... 19 B. Definition ........................................................................................................... 19 C. Rechtsrisiken und Compliance ............................................................................ 23 D. Wahrscheinlichkeit .............................................................................................. 24 E. Risikomanagement ............................................................................................. 25 F. Besonderheiten des Legal Risk Management ...................................................... 27 G. Anforderungen an das Legal Risk Management .................................................. 29 II. COMPLIANCE-MANAGEMENT-SYSTEME (CMS) Compliance-Management-Systeme allgemein (Helge Löffler/Michael Ahammer) ............................................................................. 31 A. Einleitung ........................................................................................................... 31 B. Die Grundelemente eines Compliance-Management-Systems ............................. 32 1. Compliance-Kultur ....................................................................................... 32 2. Compliance-Ziele ......................................................................................... 34 3. Compliance-Risiken ...................................................................................... 35 Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
VII
Inhaltsverzeichnis
4. 5. 6. 7. C. Die 1.
Compliance-Programm ................................................................................. 36 Compliance-Organisation ............................................................................. 37 Compliance-Kommunikation ......................................................................... 37 Compliance-Überwachung und -Verbesserung ............................................. 38 Organisation eines Compliance-Management-Systems ................................. 40 Aufbauorganisation ...................................................................................... 40 1.1. Einordnung und Funktionen ................................................................. 40 1.1.1. Vorstand .................................................................................... 40 1.1.2. Compliance Officer .................................................................... 41 1.1.3. Aufsichtsrat ................................................................................ 42 1.1.4. Abschlussprüfer ......................................................................... 43 1.2. Sonderthema – Anonyme Hinweisgebersysteme ................................... 43 2. Ablauforganisation ....................................................................................... 44 2.1. Compliance-Risiko-Beurteilung ............................................................. 45 2.2. Ableitung von Compliance-Maßnahmen/Compliance-Programm .......... 46 2.3. Schulung und Kommunikation .............................................................. 47 2.4. Regelmäßige Überprüfung der Wirksamkeit des CMS/ Compliance-Überwachung .................................................................... 47 2.5. Verhalten bei Regelverstößen ............................................................... 48 2.6. Reporting an Vorstand und Aufsichtsrat ................................................ 48 2.7. Prüfung nach dem IDW PS 980 und Zertifizierung nach der Internationalen Norm ISO/IEC 17021 .................................................... 49 3. Integration der Compliance-Aufbau- und Ablauforganisation in bestehende Instrumente und Systeme wie das Risikomanagementsystem, das Interne Kontrollsystem und die Interne Revision .................................... 50 4. Best practice – „Maßgeschneidert statt One-Size-Fits-All“ ........................... 52 4.1. Tone from the top ................................................................................ 53 4.2. Die Risiko-Landkarte ............................................................................. 53 4.3. Programm ............................................................................................ 54 4.4. Organisation ......................................................................................... 54 4.5. Compliance und Kommunikation .......................................................... 54 4.6. Überwachung/Monitoring ..................................................................... 55 D. Fazit ................................................................................................................... 56 Anti-Fraud Management (AFM) als Teil eines umfassenden ComplianceManagement-Systems (CMS) (Ewald Kager/Dominique Meixner) ............................ 57 A. Einleitung ........................................................................................................... 57 B. Begriffsdefinitionen ............................................................................................ 57 C. Anknüpfungspunkte Anti-Fraud Management und ComplianceManagement ...................................................................................................... 58 1. Compliance-Kultur ....................................................................................... 60 2. Compliance-Ziele ......................................................................................... 60 3. Compliance-Risiken ...................................................................................... 60 4. Compliance-Programm ................................................................................. 61 VIII
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Inhaltsverzeichnis
5. Compliance-Organisation ............................................................................. 61 6. Compliance-Kommunikation ......................................................................... 61 7. Compliance-Überwachung und -Verbesserung ............................................. 62 D. Planung eines umfassenden AFM ....................................................................... 62 1. Teufelskreis der trügerischen Sicherheit ....................................................... 63 2. Plan-Do-Check-Act (PDCA)-Modell ............................................................... 64 E. Datenanalyse im AFM ......................................................................................... 66 1. Allgemeines zu Datenanalyse ....................................................................... 66 2. Fraud-Aufdeckung mittels Process Mining .................................................... 69 2.1. Process Mining ..................................................................................... 70 2.2. Anwendung anhand eines Beispiels (Einkaufsprozess) ........................... 71 3. Fraud-Bearbeitung mittels forensischer Datenanalyse ................................... 79 3.1. Forensische Datenanalysen ................................................................... 79 3.2. Anwendung anhand eines Beispiels (Verkaufsprozess) .......................... 81 F. Fazit und Ausblick .............................................................................................. 83 Implementierung von Compliance-Instrumenten aus arbeitsrechtlicher Sicht (Horst Lukanec/Angelika Pallwein-Prettner/Johannes Barbist) ................................... 85 A. Einleitung ........................................................................................................... 85 B. Prävention .......................................................................................................... 86 1. Einzelvereinbarung ....................................................................................... 86 2. Weisung ....................................................................................................... 89 3. Mitbestimmungsrechte – Betriebsvereinbarung ............................................ 90 3.1. Arten von Betriebsvereinbarungen ....................................................... 93 3.2. Für Compliance-Regelungen relevante Betriebsvereinbarungen ............ 94 4. Richtlinien .................................................................................................. 102 4.1. Aufbau von Unternehmensrichtlinien .................................................. 102 4.2. Rechtliche Umsetzung von Unternehmensrichtlinien ........................... 103 4.3. Beispiele für Compliance aus der Praxis ............................................. 103 5. Schulungen ................................................................................................ 105 6. Der Compliance-Verantwortliche ................................................................ 105 6.1. Compliance-Verantwortlicher und Arbeitsvertrag ................................ 106 6.2. Compliance-Verantwortlicher und Weisung ......................................... 107 6.3. Beispiel für Compliance aus der Praxis ............................................... 107 C. Kognition .......................................................................................................... 108 1. Überblick zu laufenden Kontrollmaßnahmen .............................................. 108 2. Videoüberwachung am Arbeitsplatz ........................................................... 111 2.1. Betriebsverfassungsrechtliche Vorgaben ............................................. 111 2.2. Datenschutzrechtliche Vorgaben ......................................................... 112 3. Whistleblowing-Systeme ............................................................................ 114 3.1. Betriebsverfassungsrechtliche Vorgaben ............................................. 115 3.2. Datenschutzrechtliche Vorgaben ......................................................... 116
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
IX
Inhaltsverzeichnis
4.
Kontrolle von E-Mail-Verkehr und Internetnutzung am Arbeitsplatz ............ 118 4.1. Verbotene Privatnutzung von E-Mail und Internet ............................... 120 4.2. Erlaubte Privatnutzung von E-Mail und Internet .................................. 120 5. Weitere Kontrollmaßnahmen ...................................................................... 121 6. Interne Untersuchungen und Internes Kontrollsystem ................................. 122 6.1. Grundsätzliches/Vorbereitung ............................................................. 123 6.2. Der eigentliche Untersuchungsprozess ............................................... 125 6.3. Abschlussbericht, Kommunikation, Verbesserungen ............................ 128 6.4. Umgang mit aufgedeckten Compliance-Verstößen ............................. 128 D. Reaktion ........................................................................................................... 129 1. Handhabung von Verdachtsfällen und Sanktionierung ................................ 129 2. Verwarnungen und Disziplinarmaßnahmen ................................................. 129 3. Versetzung ................................................................................................. 130 4. Kündigung ................................................................................................. 131 5. Entlassung .................................................................................................. 131 III. PRÜFUNG VON COMPLIANCE-MANAGEMENT-SYSTEMEN NACH DEM IDW PS 980 (Michael Nayer/Dražan Bračić) ................................................................................ 135 1. Mehrwert der Prüfung des Compliance-Management-Systems ................... 135 2. Art und Umfang der Prüfung ...................................................................... 136 2.1. Teilbereiche des CMS als Ausgangspunkt der Prüfung ....................... 136 2.2. Prüfungsgegenstand ........................................................................... 137 2.3. Abgrenzung der Prüfungsarten ........................................................... 137 2.3.1. Wirksamkeitsprüfung ................................................................ 137 2.3.2. Konzeptionsprüfung ................................................................. 138 2.3.3. Angemessenheitsprüfung ......................................................... 139 2.4. Kritische Würdigung der Prüfungsarten .............................................. 139 2.5. Grenzen der Prüfung von CMS ........................................................... 140 3. Vorgehen bei der Prüfung von Compliance-Management-Systemen .......... 140 3.1. Grundlegendes ................................................................................... 140 3.2. Prüfungsplanung für CMS ................................................................... 141 3.3. Durchführung der Prüfung des CMS ................................................... 142 3.3.1. Risikobeurteilung ..................................................................... 142 3.3.2. Aufbau- und Funktionsprüfung ................................................. 142 3.4. Sonstige Prüfungshandlungen ............................................................. 143 3.4.1. Umgang mit potenziellen Regelverstößen ................................ 143 3.4.2. Ereignisse bis zur Auslieferung des Berichts der Prüfung des CMS .................................................................................. 144 3.4.3. Bestätigung durch Vollständigkeitserklärung ............................ 144 3.5. Umgang mit Prüfungsfeststellungen ................................................... 144 3.6. Dokumentation ................................................................................... 145
X
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Inhaltsverzeichnis
IV. COMPLIANCE-ANFORDERUNGEN AUS DEN EINZELNEN RECHTSGEBIETEN IT-Compliance (Angelika Pallwein-Prettner/Peter Kleebauer/ Maria Loma-Sanchez) ............................................................................................. 147 A. Einhaltung Datenschutz .................................................................................... 147 1. Grundrecht auf Datenschutz ....................................................................... 147 2. Welche Daten sind geschützt? ................................................................... 148 3. Zulässige Datenverwendung und Löschung ................................................ 149 4. Datentransfer ............................................................................................. 151 5. Melde- bzw Genehmigungspflichten gegenüber der Datenschutzbehörde .................................................................................. 151 6. Pflichten des AG ........................................................................................ 153 7. Rechte der Betroffenen .............................................................................. 153 8. Gewährleistung der Datensicherheit ........................................................... 154 B. Rolle der IT-Abteilung beim Datenschutz .......................................................... 154 1. Identifikation von personenbezogenen Daten ............................................ 155 2. Zutrittskontrolle .......................................................................................... 155 3. Zugangskontrolle ....................................................................................... 156 4. Zugriffskontrolle ......................................................................................... 156 5. Kontrolle der Weitergabe ........................................................................... 157 6. Datenverfügbarkeit .................................................................................... 157 7. Sicherstellung der Datenintegrität .............................................................. 159 8. Sicherstellung der Nachweisbarkeit ............................................................ 159 9. Datenschutzkonzept ................................................................................... 159 C. IT-Compliance in der Praxis (Good Practice) ..................................................... 160 1. Ist-Stand: IT-Compliance in der Praxis ........................................................ 160 2. COBIT 5 als Schnittstelle in der Praxis ........................................................ 161 3. Einführung von COBIT als Modell in der Praxis (Good Practice) ................. 166 4. Good Practice-Beispielprozess anhand des COBIT-Modells ........................ 167 5. Vorgehensmodell ....................................................................................... 171 6. Alle COBIT 5-Prozesse ............................................................................... 171 7. Zusammenfassung ...................................................................................... 170 Wirtschaftsstrafrecht und Compliance (Johannes Barbist/Stefan Albiez/ Pilar Koukol) ........................................................................................................... 171 A. Einleitung ......................................................................................................... 171 B. Wirtschaftsstrafdelikte im Überblick .................................................................. 172 C. Wer trägt die strafrechtliche Verantwortung? .................................................... 178 D. Kriminalitätsbezogene Compliance-Agenden .................................................... 181 E. Compliance-Maßnahmen zur Korruptionsprävention ......................................... 186 1. Korruption im öffentlichen Sektor .............................................................. 186 2. Korruption im privaten Wirtschaftsleben ..................................................... 188 3. Compliance-Agenden zur Korruptionsprävention ....................................... 190
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
XI
Inhaltsverzeichnis
F. Straffreiheit durch Delegation? ......................................................................... 192 1. Haftung wegen Nichtverhinderung von Straftaten ...................................... 192 2. Die strafrechtliche Verantwortung des Compliance-Beauftragten ............... 193 G. Conclusio .......................................................................................................... 193 Tax Compliance (Gerald Punzhuber/Christian Wimpissinger) .................................. 195 A. Einleitung ......................................................................................................... 195 B. Dokumentation und Erklärungspflichten als Kernstücke der Tax Compliance ....... 195 1. Führen von Büchern und Aufzeichnungen, Aufbewahrungspflichten ........... 196 2. Erklärungspflichten ..................................................................................... 198 2.1. Ausgewählte Erklärungspflichten ........................................................ 198 2.2. Besonderheiten bei der Wahrung der Erklärungspflichten, formelle Aspekte .............................................................................................. 199 C. Gewährleistung der Tax Compliance ................................................................ 200 D. Folgen fehlender oder mangelhafter Tax Compliance ....................................... 204 1. Sanktionen nach der BAO .......................................................................... 204 1.1. Zwangsstrafe und Schätzung .............................................................. 204 1.2. Verspätungszuschlag, Säumniszuschlag, Anspruchszinsen .................... 204 2. Strafrechtliche Folgen ................................................................................ 205 3. Verantwortliche Personen ........................................................................... 205 3.1. Möglicher Personenkreis ..................................................................... 205 3.2. Haftung des Steuerschuldners ............................................................ 205 3.3. Haftung weiterer Personen ................................................................. 206 4. Ersatzpflichten ............................................................................................ 207 5. Finanzstrafrechtliche Verantwortung ........................................................... 207 E. Tax Compliance im Abgabenverfahren ............................................................. 207 1. Einleitung ................................................................................................... 207 2. Nachschau ................................................................................................. 207 3. Außenprüfung ............................................................................................ 208 4. Hausdurchsuchung ..................................................................................... 208 Kartellrechts-Compliance (Johannes Barbist) ......................................................... 211 A. Einleitung ......................................................................................................... 211 B. Elemente eines robusten Kartellrechts-Compliance-Programms ........................ 214 1. Compliance als integraler Bestandteil der Kultur und Politik des Unternehmens ............................................................................................ 214 2. Compliance-Organisation und -Ressourcen ................................................ 216 3. Identifikation und Bewertung von Risiken ................................................... 217 4. Know-how-Aufbau im Interesse einer kartellrechtlichen Compliance ........... 222 5. Einführung kartellrechtlicher Kontrollpunkte ............................................... 223 6. Meldesysteme bei kartellrechtlichen Bedenken .......................................... 224 7. Interne Untersuchungen ............................................................................. 224
XII
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Inhaltsverzeichnis
8. Disziplinäre Maßnahmen im Unternehmen ................................................. 225 9. Überwachung und kontinuierliche Verbesserung ........................................ 226 C. Ausblick ............................................................................................................ 227 IP-Compliance (Ivo Rungg/Robert Hittinger) .......................................................... 231 A. Einführung ........................................................................................................ 231 B. Schutzrechte und andere Ansatzpunkte für IP-Compliance ................................ 232 C. Bereiche der IP-Compliance .............................................................................. 235 D. Maßnahmen der IP-Compliance ........................................................................ 240 1. Analyse bestehender eigener und verwendeter fremder Schutzrechte ....... 240 2. Überwachung eigener Schutzrechte ........................................................... 242 3. Lizenzmanagement ..................................................................................... 242 4. Erstellung von Richtlinien und Sicherheitskonzepten .................................. 245 5. Vertragliche Vorsorge ................................................................................. 246 6. Organisation .............................................................................................. 247 7. Schulungen ................................................................................................ 248 8. Unternehmenskommunikation .................................................................... 248 E. Zusammenfassung ............................................................................................ 249 Compliance im Umwelt- und Arbeitnehmerschutzrecht (Johannes Barbist/ Wolfgang Hackenauer) ........................................................................................... 251 A. Einleitung ......................................................................................................... 251 B. (Verwaltungs-)Strafdelikte im Überblick ............................................................. 254 C. Beispiele für Non-Compliance aus der Praxis .................................................... 259 D. Schaffung einer behörden- und gerichtsfesten Organisation ............................. 261 1. Aufbauorganisation .................................................................................... 261 2. Ablauforganisation ..................................................................................... 267 2.1. Ermittlung der relevanten rechtlichen Vorgaben ................................. 269 3. Erheben der behördlichen Genehmigungen ............................................... 277 4. Ableitung von konkreten Maßnahmen aus Verpflichtungen, Geboten und Verboten, Durchführung von Kontrollen .............................................. 279 5. Notfallvorsorge und Gefahrenabwehr ......................................................... 280 E. Fazit ................................................................................................................. 281 V. COMPLIANCE-ANFORDERUNGEN AUS DEN EINZELNEN RECHTSGEBIETEN Compliance in Banken und Finanzdienstleistungsunternehmen (Tibor Fabian/Philipp Harsdorf-Enderndorf/Matthias Neuner) ................................. 283 A. Einleitung und Definition .................................................................................. 284 B. Gesetzliche Rahmenbedingungen ..................................................................... 287 1. Hard law .................................................................................................... 287 1.1. Ordnungsnormen ............................................................................... 287 1.2. Produktbezogene Vorschriften ............................................................ 288 2. Quasi-gesetzliche Bestimmungen („soft law“) ............................................. 289
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
XIII
Inhaltsverzeichnis
C. Unternehmensprävention .................................................................................. 291 1. Einzelelemente ........................................................................................... 291 2. Zusammenspiel der Subsysteme ................................................................. 291 3. Traditioneller vs Integrierter Ansatz ............................................................ 293 D. Bankenspezifische Regelungen ......................................................................... 293 1. Compliance-Risiko ...................................................................................... 293 2. Ziel und Zweck des Internen Kontrollsystems ............................................. 295 3. Risikomanagement ..................................................................................... 296 4. Vorgaben für die Interne Revision .............................................................. 297 5. Prinzipien für die Einrichtung einer Compliance-Funktion in Banken ........... 300 6. Compliance-Officer .................................................................................... 301 7. Geldwäschereibeauftragte .......................................................................... 301 8. Erleichterungen für kleinere Institute .......................................................... 301 9. Ausschüsse des Aufsichtsrats ...................................................................... 302 9.1. Prüfungsausschuss .............................................................................. 303 9.2. Weitere Ausschüsse ............................................................................ 303 10. Fit & Proper-Vorgaben ............................................................................... 304 E. State-of-the-Art Compliance-Organisation ........................................................ 304 F. Schlussbemerkung ............................................................................................ 308 Compliance in Versicherungsunternehmen – besondere Anforderungen (Thomas Smrekar/Raimund Korherr/Friedrich Wittmann) ........................................ 309 A. Einleitung ......................................................................................................... 309 B. Gesetzliche Rahmenbedingungen ..................................................................... 310 1. Vorbemerkungen ....................................................................................... 310 2. Regelungen im „alten VAG“ ...................................................................... 311 3. Übergangsbestimmungen nach der kleinen VAG-Novelle 2014 .................. 312 4. Solvency II-Regelungen des VAG 2016 sowie der Durchführungsverordnung .......................................................................... 313 C. Compliance-Spezifika bei Versicherungsunternehmen ....................................... 314 1. Allgemeine Governance-Anforderungen ..................................................... 314 2. Internes Kontrollsystem .............................................................................. 315 3. Interne Revision ......................................................................................... 315 4. Risikomanagement und ORSA .................................................................... 316 5. Compliance-Funktion ................................................................................. 317 6. Aktuarielle (versicherungsmathematische) Funktion .................................... 318 7. Verhinderung der Geldwäscherei und Terrorismusfinanzierung ................... 320 8. Sonstiges ................................................................................................... 320 D. Fazit ................................................................................................................. 321 Compliance in/für börsenotierte(n) Aktiengesellschaften (Florian Khol/ Hemma Parsché) .................................................................................................... 323 A. Einführung ........................................................................................................ 323 B. Going Public – Der Gang an die Wiener Börse ................................................. 324
XIV
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Inhaltsverzeichnis
C. Being Public – Besondere Pflichten für Emittenten ........................................... 325 1. Anlassbezogene Publizitätspflicht ............................................................... 326 1.1. Ad-hoc-Mitteilungspflicht ................................................................... 326 1.2. Missbrauch von Insiderinformationen, Marktmanipulation ................... 328 1.3. Emittenten-Compliance in Österreich ................................................. 329 2. Beteiligungspublizität ................................................................................. 332 2.1. Änderung bedeutender Beteiligungen ................................................ 332 2.2. Directors’ Dealings ............................................................................. 335 2.3. Regelpublizität ................................................................................... 336 3. Corporate Governance ............................................................................... 336 D. Fazit ................................................................................................................. 337 Compliance für öffentliche Unternehmen (Markus Pinggera) ................................ 339 A. Einleitung ......................................................................................................... 340 B. Der besondere Rechtsrahmen für öffentliche Unternehmen .............................. 341 1. „Hard law“ ................................................................................................. 341 2. Public Corporate Governance .................................................................... 344 C. Schaffung einer behörden- und gerichtsfesten Organisation ............................. 345 1. Ermittlung der relevanten rechtlichen Vorgaben ......................................... 345 2. Aufbauorganisation öffentlicher Unternehmen ........................................... 350 3. Ablauforganisation öffentlicher Unternehmen ............................................. 352 D. Fazit ................................................................................................................. 361 Stichwortverzeichnis ............................................................................................. 363
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
XV
Autorenverzeichnis Herausgeber und Autoren Mag. Michael Ahammer, Wirtschaftsprüfer und Steuerberater, ist Partner der KPMG Austria GmbH. Er ist Head of Audit der KPMG Österreich und Leiter des KPMG Standortes Innsbruck. Seine Tätigkeitsschwerpunkte liegen in der Prüfung von Jahres- und Konzernabschlüssen sowie in der Beratung von Industrieunternehmen, Energieversorgern und mittelständischen Familienbetrieben, insbesondere in den Bereichen Umgründungen, M&A, Internes Kontrollsystem, Risikomanagement und Compliance, Handels- und Gesellschaftsrecht sowie Unternehmenssteuerrecht. Michael Ahammer ist Mitherausgeber des Handbuchs zum Internen Kontrollsystem und Fachvortragender zum Internen Kontrollsystem, Risikomanagement und Compliance. Kontakt E-Mail: mahammer@kpmg.at Dr. iur. Johannes Barbist, M.A. (Limerick) ist seit 2005 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Seine Tätigkeitsschwerpunkte liegen in der Beratung nationaler und internationaler Unternehmen in den Bereichen Öffentliches Wirtschaftsrecht und Umweltrecht sowie Verwaltungsverfahren. Er leitet die Fachgruppe Compliance innerhalb der Kanzlei und ist laufend mit Compliance-Fragen in seinen Spezialgebieten betraut. Johannes Barbist ist Autor zahlreicher Publikationen zum österreichischen und europäischen Wirtschafts- und Umweltrecht sowie Vortragender bei Seminaren und an der Universität Innsbruck. Kontakt E-Mail: barbist@bindergroesswang.at Dr. iur. Mag. rer. soc. oec. Tibor Fabian ist seit 1996 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Seine Tätigkeitsschwerpunkte liegen im Bank-, Kapitalmarkt- und Immobilienrecht sowie in Strukturierten Finanzierungen und Derivaten. Er ist Autor zahlreicher Fachbeiträge und Vortragender auf Konferenzen und einschlägigen Seminaren. Er hat gemeinsam mit FinanceTrainer die CyberSchool für Fit&Proper Schulungen mitentwickelt und hält dazu vertiefende Workshops ab. Kontakt E-Mail: fabian@bindergroesswang.at
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
XXIX
Autorenverzeichnis
Dr. Helge Löffler ist Wirtschaftsprüfer und Steuerberater. Als Partner bei KPMG in Österreich ist er für die Leitung des Standortes Linz zuständig. Seine Tätigkeitsschwerpunkte liegen in der Prüfung von Jahres- und Konzernabschlüssen, internen Kontrollund Risikomanagementsystemen sowie in der Evaluierung im Sinne des Corporate Governance Kodex. Helge Löffler berät Unternehmen in diesen Bereichen auch, genauso wie zu den Themen Unternehmens- und Gesellschaftsrecht. Er ist Mitherausgeber des Handbuchs zum Internen Kontrollsystem und Fachvortragender zum Internen Kontrollsystem, Risikomanagement und Compliance. Kontakt E-Mail: hloeffler@kpmg.at
Autoren Dr. iur. Stefan Albiez, Partner bei BINDER GRÖSSWANG Rechtsanwälte. Sein Tätigkeitsschwerpunkt liegt in der Beratung nationaler und internationaler Unternehmen in den Bereichen Dispute Resolution (Litigation) und Wirtschaftsstrafrecht (White Collar Crime). Sein Fokus liegt dabei auf internationalen Streitigkeiten und auf der Beratung und Vertretung von Banken. Stefan Albiez ist Autor zahlreicher Publikationen zu diesen Themen sowie Vortragender bei Seminaren. Kontakt E-Mail: albiez@bindergroesswang.at Diplom-Betriebswirt (FH) Dražan Bračić, CFE, ist Senior Manager der KPMG Alpen-Treuhand GmbH und verfügt über mehr als 12 Jahre an Projekterfahrungen im Bereich Sonderuntersuchungen und Präventionsberatung bei dolosen Handlungen in Unternehmen. Schwerpunkte seiner Tätigkeit sind die Bereiche Anti-Korruption und Kartelle für Unternehmen. Basierend auf dieser Erfahrung ist Dražan Bračić auch ein kompetenter Ansprechpartner zu Compliance-Themen insbesondere bei der Systemprüfung von Compliance Management Systemen. Kontakt E-Mail: dbracic@kpmg.at
XXX
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Autorenverzeichnis
Ing. Wolfgang Hackenauer, MSc (Management) ist seit 1995 Netzwerkpartner bei Quality Austria Trainings-, Zertifizierungs- und Begutachtungs GmbH. Seine Tätigkeitsschwerpunkte als Umweltgutachter, Sicherheitsfachkraft und Auditor liegen bei der Begutachtung bzw. Auditierung von Managementsystemen in Organisationen. Einen wesentlichen Aspekt stellen dabei die rechtlichen Verpflichtungen dar. Wolfgang Hackenauer ist Vortragender und Verfasser von Fachartikeln und Mitautor von einschlägigen Publikationen zu den Themen Managementsysteme und der Umsetzung von betrieblichen Verpflichtungen aus gesetzlichen bzw behördlichen Anforderungen. Kontakt E-Mail: wolfgang.hackenauer@qualityaustria.com Mag. Philipp Harsdorf-Enderndorf, LL.M., arbeitet in der „Central Compliance“ Abteilung der Erste Group Bank AG. Er ist schwerpunktmäßig konzernweit mit Compliance Querschnittsmaterien, Compliance Governance, rechtlichen Analysen und Compliance & Reputational Risk Assessments befasst. Kontakt E-Mail: Philipp.Harsdorf-Enderndorf@erstegroup.com
Mag. Robert Hittinger, LL.M. (Vienna), seit 2012 Legal Counsel bei Microsoft Österreich GmbH. Robert Hittinger ist seit März 2012 als Legal Counsel bei Microsoft Österreich GmbH tätig. Er ist hierbei für sämtliche Rechtsangelegenheiten der Microsoft Österreich GmbH allein verantwortlich. Nach seinem Studium der Rechtswissenschaften studierte er Informationsrecht und Rechtsinformation an der Universität Wien (postgradualer Universitätslehrgang). Des Weiteren absolvierte er im April 2006 die Rechtsanwaltsprüfung. Seine Tätigkeitsschwerpunkte liegen im Vertragsrecht, Lizenzrecht, Datenschutzrecht, Urheberrecht, Wettbewerbsrecht, E-Commerce Recht, Verbraucherrecht und Compliance. Kontakt E-mail: a-rohit@microsoft.com
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
XXXI
Autorenverzeichnis
Mag. (FH) Ewald Kager, Certified Fraud Manager, ist Director der KPMG Alpen-Treuhand GmbH im Bereich Risk Consulting. Seine Tätigkeitsschwerpunkte liegen in der Beratung von nationalen und internationalen Unternehmen, insbesondere in den Bereichen Forensik & Investigations (Beratung im Zusammenhang mit der Aufdeckung und Vermeidung von wirtschaftskriminellen Handlungen, Compliance und Unternehmensethik (Implementierung von Compliance Management Systemen, Code of Conduct, interne Richtlinien, Prozessoptimierungen, Business Partner Checks und Netzwerkanalysen), Prozessmanagement und -optimierung (Prüfung und Beurteilung der Wirksamkeit und Effizienz von Prozessen, IT-gestützte Prozessprüfungen, Process Mining), In-, Co- und Outsourcing von Revisionsfunktionen sowie Prüfung Interner Kontrollsysteme. Kontakt E-Mail: ekager@kpmg.at Dr. iur. Florian Khol ist seit 2006 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Seine Tätigkeitsschwerpunkte liegen in der Beratung nationaler und internationaler Unternehmen, einschließlich deren Vorstände und Aufsichtsräte, im Bereich des Börse-, Kapitalmarkt- und Übernahmerechts, Mergers & Acquisitions und Gesellschaftsrecht. Das Beratungsspektrum umfasst sämtliche Kapitalmarkttransaktionen, einschließlich öffentlicher Angebote und die laufende Beratung von gelisteten Unternehmen sowie Beratung bei nationalen und grenzüberschreitenden Unternehmenskäufen und Umstrukturierungen. Florian Khol berät Industrieunternehmen, Banken (Investmentbanken), Dienstleister und mittelständische Unternehmen. Florian Khol ist darüber hinaus Autor zahlreicher Publikationen zum Thema Kapitalmarkt- und Gesellschaftsrecht und Co-Autor des IBA Takeover Guide 2014. Kontakt E-Mail: khol@bindergroesswang.at
XXXII
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Autorenverzeichnis
Peter Kleebauer, MSc. ist Manager der KPMG Alpen-Treuhand GmbH im Bereich IT Advisory. Nach seiner akademischen Ausbildung an der Fachhochschule Hagenberg in den Studien „Sichere Informationstechnik“ und „Computer- und Mediensicherheit“ arbeitet Peter Kleebauer seit 2007 bei KPMG und ist dort auf die Themenbereiche Informationssicherheit, Penetration Testing und Datenschutz spezialisiert. Er berät Kunden beim Aufbau von Managementsystemen für Informationssicherheit und Datenschutz, Business Continuity und Risikomanagement bzw führt Prüfungen und Zertifizierungen nach ISO/IEC 27001 durch. Kontakt E-Mail: pkleebauer@kpmg.at Mag. Raimund Korherr ist seit 2012 Senior Manager bei der KPMG Austria GmbH. Seine Tätigkeitsschwerpunkte liegen in der Prüfung und Beratung von Versicherungsunternehmen mit speziellem Fokus auf Aufsichtsrecht, Asset-Management, Risikomanagement und IKS sowie Prozessoptimierung. Zuvor war er in einer großen österreichischen Versicherung für Asset-Management zuständig und in der FMA als Prüfer und Analyst in die Entwicklung von Solvency II eingebunden. Zu diesen Themen führt er regelmäßig interne und externe Schulungen durch, hält Vorträge und verfasst einschlägige Fachartikel. Kontakt E-Mail: rkorherr@kpmg.at Dr. iur. Pilar Koukol ist Rechtsanwaltsanwärterin bei BINDER GRÖSSWANG Rechtsanwälte. Ihr Tätigkeitsschwerpunkt liegt in der Beratung nationaler und internationaler Unternehmen im Bereich Dispute Resolution und White Collar Crime. Pilar Koukol ist Autorin zahlreicher Publikationen zum Thema Wirtschaftsstrafrecht und Compliance. Im Rahmen ihrer Tätigkeit als Universitätsassistentin am Institut für Strafrecht und Kriminologie der Universität Wien von 2010 bis 2014 dissertierte sie im Fachbereich Compliance und hielt Lehrveranstaltungen im Bereich Strafund Strafprozessrecht sowie Vorträge zum Wirtschaftsstrafrecht. Kontakt E-Mail: koukol@bindergroesswang.at
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
XXXIII
Autorenverzeichnis
Lic. Maria Loma Sanchez, ISO 27001 Lead Auditor ist Manager der KPMG Alpen-Treuhand GmbH im Bereich IT Advisory. Sie ist auf die Themenbereiche IT Compliance und IT Risikomanagement spezialisiert und hat bereits zahlreiche Unternehmen in Projekten begleitet. Ein weiterer Fokus liegt in der Optimierung der Leistungsfähigkeit und Transparenz der IT. Kontakt E-Mail: mloma-sanchez@kpmg.at Mag. iur. Horst Lukanec, LL.M. (Tulane), ist seit 2004 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Horst Lukanec berät nationale und internationale Unternehmen bei allen Fragen des individuellen und kollektiven Arbeitsrechts mit einem Schwerpunkt auf arbeitsrechtliche Aspekte von Umstrukturierungen und Restrukturierungsmaßnahmen, die Gestaltung von Führungskräfteverträgen, die Strukturierung internationalen Personaleinsatzes, den Datenschutz im Arbeitsverhältnis sowie die Vertretung vor den Arbeits- und Sozialgerichten. Horst Lukanec ist Autor zahlreicher nationaler und internationaler Publikationen zum Thema Arbeitsrecht. Kontakt E-Mail: lukanec@bindergroesswang.at Mag. Dominique Meixner, LL.B. MBA ist Senior Associate der KPMG Alpen-Treuhand GmbH im Bereich Risk Consulting. Ihre Tätigkeiten in den Bereichen Forensik & Investigations umfassen insbesondere die Untersuchung und Aufklärung wirtschaftskrimineller Handlungen (Fraud Investigation), die Präventionsberatung zur Vermeidung doloser Handlungen durch die Analyse interner Prozesse und deren Schwachstellen (Anti-Fraud Management) sowie die Beratung in den Bereichen Compliance und Risikomanagement (Prävention) und IT-gestützte Datenrecherchen und -analysen. Kontakt E-Mail: dmeixner@kpmg.at
XXXIV
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Autorenverzeichnis
Mag. Michael Nayer ist Wirtschaftsprüfer, Steuerberater, allgemein beeideter und gerichtlich zertifizierter Sachverständiger und Partner der KPMG Wien. Im Laufe seiner 21-jährigen Tätigkeit für KPMG war er hauptsächlich in den Bereichen Compliance, internes Kontrollsystem und Risikomanagement sowie Sonderprüfungen und Transaktionsberatung allgemein und Restrukturierungsberatung im Speziellen tätig, und konnte auf diesen Gebieten umfassende Erfahrungen sammeln und sich ein profundes Wissen aneignen. Darüber hinaus ist er Autor diverser Fachpublikationen. Kontakt E-Mail: mnayer@kpmg.at Mag. Matthias Neuner ist Head of Legal, Risk Management & Projects der ING-DiBa Direktbank Austria. Davor war er Head of Group Central Compliance in der Erste Group Bank AG und im Bereich Legal & Compliance bei Töchterunternehmen der Erste Group Bank AG sowie als Prüfer in der Finanzmarktaufsicht beschäftigt. Kontakt E-Mail: matthias.neuner@ing-diba.at Dr. iur. Angelika Pallwein-Prettner, LL.M. (NYU), ist seit 2015 Partnerin bei BINDER GRÖSSWANG Rechtsanwälte. Ihr Tätigkeitsschwerpunkt liegt in der Beratung und Vertretung nationaler und internationaler Unternehmen in sämtlichen Bereichen des kollektiven und individuellen Arbeitsrechts mit besonderem Fokus auf Restrukturierungen und Umstrukturierungen sowie der Ausgestaltung von Manager-Anstellungsverträgen und datenschutzrechtlichen Aspekten. Angelika Pallwein-Prettner ist Autorin nationaler und internationaler Publikationen zum Thema Arbeitsrecht und Datenschutz. Kontakt E-Mail: pallwein@bindergroesswang.at
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
XXXV
Autorenverzeichnis
Dr. iur. Hemma Parsché, LL.M. (London), ist seit 2015 Rechtsanwältin bei BINDER GRÖSSWANG Rechtsanwälte. Ihre Tätigkeitsschwerpunkte liegen in der Beratung nationaler und internationaler Unternehmen in den Bereichen des Börse-, Kapitalmarkt- und Übernahmerechts, Mergers & Acquisitions und Gesellschaftsrecht mit besonderem Fokus auf grenzüberschreitenden Unternehmenskäufen sowie der laufenden Beratung von gelisteten Unternehmen. Hemma Parsché ist Co-Autorin des IBA Takeover Guide 2014. Kontakt E-Mail: parsche@bindergroesswang.at Mag. iur. Markus Pinggera, LL.M. (LSE), Rechtsanwalt bei BINDER GRÖSSWANG Rechtsanwälte. Seine Tätigkeitsschwerpunkte liegen in der Beratung nationaler und internationaler Mandanten in den Bereichen europäisches und öffentliches Wirtschaftsrecht und Wettbewerbsrecht, unter anderem berät er laufend öffentliche Unternehmen zu ComplianceFragen in diesen Gebieten. Markus Pinggera ist Autor zahlreicher Publikationen und Lektor an einer Fachhochschule. Kontakt E-Mail: pinggera@bindergroesswang.at Mag. Ing. Gerald Punzhuber, Wirtschaftsprüfer und Steuerberater, ist Partner der KPMG Alpen-Treuhand GmbH im Bereich Tax. Seine Tätigkeitsschwerpunkte liegen in der Beratung von nationalen und internationalen Unternehmen, insb in den Bereichen Unternehmenssteuerrecht, Konzernsteuerrecht und Umgründungen. Kontakt E-Mail: gpunzhuber@kpmg.at
XXXVI
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Autorenverzeichnis
MMag. Dr. Ivo Rungg ist seit 1998 Rechtsanwalt und seit 2001 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Seine Tätigkeitsschwerpunkte liegen in der Beratung nationaler und internationaler Unternehmen in den Bereichen Unlauterer Wettbewerb, Werberecht, Geistiges Eigentum, Gesellschaftsrecht sowie Urheberrecht und Datenschutz. Er verfügt über eine langjährige Erfahrung in der rechtsvorbeugenden und -durchsetzenden Beratung bei komplexen Sachverhalten und sitzt unter anderem in Stiftungsvorständen sowie dem Internet Comittee der International Trademark Association (INTA). Er ist Vortragender an der Universität Innsbruck und Autor zahlreicher Publikationen sowie Rechts-Redakteur des Wirtschaftsmagazins Econova. Kontakt E-Mail: rungg@bindergroesswang.at Dr. iur. Mag. rer. soc. oec. Thomas Schirmer, LL.M. (Tulane), ist seit 2000 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Das Beratungsspektrum die Beratung von Thomas Schirmer umfasst die Bereiche Gesellschaftsrecht, einschließlich die Beratung von Vorständen und Aufsichtsräten, Beratung bei nationalen und grenzüberschreitenden Transaktionen, Unternehmenskäufen und Umstrukturierungen, Unternehmensfinanzierungen, Joint Ventures und Gesellschaftervereinbarungen. Thomas Schirmer berät Industrieunternehmen, Dienstleister und mittelständische Unternehmen sowie im Bereich Private Equity und Venture Capital. Thomas Schirmer ist Autor zahlreicher Publikationen zum Thema Gesellschafts- und Bankenrecht. Thomas Schirmer ist zusätzlich Aufsichtsratsmitglied bzw Vorsitzender des Aufsichtsrats bei einer österreichischen Spezialbank, einem Softwareunternehmen sowie einem Venturefonds. Kontakt E-Mail: schirmer@bindergroesswang.at
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
XXXVII
Autorenverzeichnis
Dr. iur. Mag. phil. Markus Uitz ist seit 2014 Partner bei BINDER GRÖSSWANG Rechtsanwälte. Die Tätigkeitsschwerpunkte von Markus Uitz liegen vorwiegend in der Beratung nationaler und internationaler Unternehmen im Bereich Mergers & Acquisitions, Gesellschaftsrecht, Unternehmensrecht sowie Real Estate. In diesen Bereichen ist er auch laufend mit Compliance-Themen befasst. Markus Uitz ist zudem der Autor zahlreicher Publikationen in den Bereichen Gesellschaftsrecht, Compliance sowie Mergers & Acquisitions. Kontakt E-Mail: uitz@bindergroesswang.at Dr. iur. Christian Wimpissinger, LL.M. (NYU), Partner bei BINDER GRÖSSWANG Rechtsanwälte. Christian Wimpissinger berät internationale und nationale Konzerne zu steuer- und bilanzrechtlichen Fragen im laufenden Geschäft, bei Umstrukturierungen und Unternehmenskäufen, hinsichtlich Finanzierungen und Finanzinstrumenten sowie in Steuerverfahren (von der Prüfung bis zu hin zu den Höchstgerichten). Er lehrt außerdem jeweils einmal pro Jahr an der University of Miami und an der Donau-Uni Krems und ist häufig Vortragender bei internationalen Konferenzen und Fachveranstaltungen in Österreich. Kontakt: wimpissinger@bindergroesswang.at Mag. Friedrich Wittmann ist Senior Manager der KPMG Austria GmbH in den Bereichen Audit und Advisory. Er ist seit 1992 bei KPMG tätig – mit besonderem Schwerpunkt auf die Prüfung und Beratung von Versicherungsunternehmen. Er ist zudem als Lektor ua an der Wirtschaftsuniversität Wien sowie an der Technischen Universität Wien in den Bereichen Versicherungsbetriebslehre sowie Rechnungslegung tätig. Kontakt E-Mail: fwittmann@kpmg.at
Fotonachweise: Foto Ahammer: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Albiez: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Barbist: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien
XXXVIII
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Autorenverzeichnis
Foto Bračić: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Fabian: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Hackenauer: Günther Zelzer http://www.ennstalfoto.at Foto Harsdorf-Enderndorf: www.fotoweinwurm.at/Philipp Foto Hittinger: Fotoatelier Bichl, Herzoggasse 6, A-2340 Mödling Foto Kager: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Khol: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Kleebauer: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Korherr: KPMG Austria GmbH; Porzellangasse 51, 1090 Wien Foto Koukol: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Löffler: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Lukanec: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Meixner: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Nayer: KPMG Austria GmbH; Porzellangasse 51, 1090 Wien Foto Neuner: privat Foto Pallwein-Prettner: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Parsché: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Pinggera: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Punzhuber: KPMG Services GmbH, Kudlichstraße 41, 4020 Linz Foto Rungg: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Sanchez: KPMG Austria GmbH; Porzellangasse 51, 1090 Wien Foto Schirmer: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Uitz: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Wimpissinger: BINDER GRÖSSWANG, Rechtsanwälte GmbH, Sterngasse 13, 1010 Wien Foto Wittmann: KPMG Austria GmbH; Porzellangasse 51, 1090 Wien
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
XXXIX
Compliance-Management-Systeme allgemein
Löffler/Ahammer
3. Integration der Compliance-Aufbau- und Ablauforganisation in bestehende Instrumente und Systeme wie das Risikomanagementsystem, das Interne Kontrollsystem und die Interne Revision Beim Vergleich der beiden Begriffsdefinitionen Compliance(-management) und RM wird ersichtlich, dass es sich in beiden Fällen um zentrale und originäre Aufgaben der Unternehmensführung handelt, die die Erreichung der Unternehmensziele unterstützen und somit den wirtschaftlichen Erfolg des Unternehmens garantieren sollen. Compliance und RM stehen zueinander in einer Wechselwirkung, nämlich einerseits dadurch, dass RM als wesentliche Aufgabe der Unternehmensführung (indirekt) gesetzlich gefordert wird (Compliance im engeren Sinn) und andererseits dadurch, dass Compliance als Bestandteil des RM-Systems zu sehen ist, bei dem das RM übergeordnet (auch) das Ziel verfolgt, anwendbare Gesetze und Vorschriften einzuhalten (Compliance im weiteren Sinn). Die folgende Grafik verdeutlicht die Wechselwirkungen: Gesetze (AktG, GmbHG, URÄG)
auf der Grundlage von
erfordern
Compliance im engeren Sinn
Risikomanagement Ziele
Strategische Ziele
Betriebliche Ziele
Zuverlässigkeit der Berichterstattung
Einhaltung anwendbarer Gesetze, Vorschriften und Richtlinien
Compliance im weiteren Sinn
Die erfolgreiche Implementierung und der Betrieb eines CMS erfordert die Einbindung und Nutzung bereits bestehender Systeme der Unternehmensüberwachung. Dies hat den Zweck, die Wirksamkeit zu erhöhen, den Stellenwert des CMS zu fördern, Synergiepotenziale zu heben und Kosten zu senken. Zwischen einem Risikomanagementsystem und einem CMS bestehen inhaltliche und methodische Parallelitäten. Inhaltlich bestehen sie hauptsächlich darin, dass Compliance-Verstöße erhebliche Unternehmensrisiken und Bedrohungsszenarien darstellen kön-
50
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Löffler/Ahammer
C. Die Organisation eines Compliance-Management-Systems
nen. Compliance-Risiken können damit auch im Blickfeld des unternehmensweiten RMS sein und sind es in der Regel auch. Nicht alle Compliance-Risiken sind automatisch auch Unternehmensrisiken. Methodisch sind die Parallelen darin zu sehen, dass Compliance-Risiken (wie auch Unternehmensrisiken) zu analysieren und hinsichtlich Eintrittswahrscheinlichkeit und Auswirkung zu bewerten und zu steuern sind. Organisatorisch bestehen hinsichtlich der Ausgestaltung grundsätzlich zwei Alternativen, nämlich (1) Integration der Instrumente eines CMS in ein bestehendes RMS, wodurch ein integriertes Risiko- und CMS entsteht und (2) Einrichtung von zwei aufbauorganisatorisch selbständig funktionierenden Systemen, die über fix definierte Schnittstellen verfügen. Die Schnittstellen bestehen insb bei folgenden Themen und Instrumenten a. Risikoidentifizierung b. Risikobewertung c. Reporting Der Vorstand bzw die Geschäftsführung hat aufgrund gesetzlicher Bestimmungen dafür zu sorgen, dass ein IKS geführt wird, das den Anforderungen des Unternehmens entspricht. Weiters hat der Vorstand dafür zu sorgen, dass – je nach Unternehmensumfeld spezifiziert – ein ebensolches RM geführt wird, um den zwar nicht direkt gesetzlich verankerten, aber indirekt geforderten Anforderungen zu entsprechen und damit „compliant“ zu sein. In den folgenden beiden Abschnitten wird dargestellt, wie das Ziel der Compliance im RM-Prozess erreicht werden kann und welche organisatorischen Voraussetzungen dafür notwendig sind, wobei die Parallelen zur RM-Organisation dargestellt werden. Compliance als Ziel eines unternehmensweiten RM beschäftigt sich primär mit der Einhaltung sämtlicher gesetzlicher Bestimmungen und ist damit sehr weit definiert. Es geht also nicht (nur) um die Einhaltung der Gesetze, die ein RM-System notwendig machen, sondern vielmehr um sämtliche gesetzlichen Bestimmungen, denen ein Unternehmen unterliegt. Daneben hat das RM-System auch die Einhaltung sämtlicher unternehmensinterner Richtlinien und Vorkehrungen sicherzustellen, was gemeinsam mit der Komplexität der obigen Bestimmungen die Unternehmen vor große Herausforderungen stellt. Zunächst ist auszuführen, dass Compliance als explizites Ziel nur vom unternehmensweiten RMS definiert wird (s COSO-Würfel). In einem IKS werden zwar auch Compliance-Ziele verfolgt, aber jeweils nur eingeschränkt auf den Prozess, den das IKS unterstützt. Compliance ist als separate Zielkategorie im RM zu sehen, die sich sowohl auf das Gesamtunternehmen als auch auf einzelne Geschäftsbereiche oder Standorte bezieht. Von den acht Komponenten des COSO-Frameworks (Internes Umfeld, Zielfestlegung, Ereignisidentifikation, Risikobeurteilung, Risikosteuerung, Kontrollaktivitäten, Information & Kommunikation und Überwachung) kommen im Compliance-Prozess der Risikoidentifizierung und -beurteilung sowie der Risikoüberwachung besondere Bedeutung zu. Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
51
Compliance-Management-Systeme allgemein
Löffler/Ahammer
Compliance-Risiken sind zum Großteil rechtliche Risiken. Compliance-Risiken sind idR schwer erkennbar. Sie kommen in den Routineprozessen vor, werden aber oft erst dann wahrgenommen, wenn der Schaden oder Reputationsverlust bereits eingetreten ist. Aus diesem Grund sind die rechtlichen Risiken systematisch, also mit denselben Methoden wie zB operative Risiken zu identifizieren. Die Bewertung kann (wie im RM-Prozess) nach Auswirkung (Schadenspotenzial) und Eintrittswahrscheinlichkeit vorgenommen werden. Die Unsicherheiten bei der Bewertung rechtlicher Risiken sind ungleich größer als zB bei der Bewertung von operativen Risiken. Dies erfordert daher in aller Regel die Beiziehung von Experten, die auf das jeweilige Rechtsgebiet spezialisiert sind (zB Strafrecht, Arbeitsrecht, Umweltrecht, etc). Der Überwachung (also dem Monitoring, ob der Prozess der Risikoidentifikation, -bewertung und -steuerung gut funktioniert) kommt allein schon deshalb große Bedeutung zu, weil insb Reputationsrisiken enorme Negativauswirkungen haben können (siehe ua die „Siemens“-Korruptionsaffäre). Der Zusammenhang zwischen einem IKS und einem CMS ist nicht wie der Zusammenhang zwischen CMS und RMS aufbau-/ablauforganisatorisch zu sehen. Für ein funktionierendes CMS ist das Vorhandensein und Funktionieren eines IKS unabdingbare Voraussetzung. Die Verknüpfung von IKS und CMS konzentriert sich auf folgende Fragestellungen. a. Sind ausreichende Kontrollen eingerichtet, um die Compliance-Risiken abzudecken? (Control Design – 1) b. Sind die Kontrollen angemessen, um diese Compliance-Risiken abzudecken (Control Design – 2) c. Ist sichergestellt, dass die bestehenden Kontrollen zur Aufdeckung und Vermeidung von Compliance-Verstößen wirksam sind? (Control Effectiveness) Der Internen Revision kommen mehrere wichtige Rollen bei der Prävention und Aufdeckung von Compliance-Fällen zu: a. Durchführung von speziellen Compliance-Prüfungen b. Feststellung von Compliance-Mängeln bei Routineprüfungen Der Internen Revision als prozessunabhängige Instanz kommt damit eine Überwachungsfunktion des CMS zu. Sie hat die Aufgabe, die Wirksamkeit eines CMS laufend zu überprüfen und den zuständigen Organen darüber zu berichten. Um diese unabhängige Überprüfung sicherzustellen, darf ein CMS organisatorisch nicht der Internen Revision zugeordnet werden.
4. Best practice – „Maßgeschneidert statt One-Size-Fits-All“ Compliance ist aus dem wirtschaftlichen, medialen und auch politischen Alltag nicht mehr wegzudenken und wird in vielen Unternehmen bereits seit Jahren als unverzichtbarer Bestandteil gesehen. Im Folgenden werden die oben in B. und C. dargestellten Grundelemente und die Organisation eines CMS unter praktischen Gesichtspunkten
52
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
IV. COMPLIANCE-ANFORDERUNGEN AUS DEN EINZELNEN RECHTSGEBIETEN IT-Compliance Angelika Pallwein-Prettner/Peter Kleebauer/Maria Loma-Sanchez Literatur: Brodil, Löschung von Arbeitnehmerdaten, ZAS 2014/54; Brodil (Hrsg), Datenschutz im Arbeitsrecht (2010); Dohr/Pollirer/Weiss/Knyrim, DSG2 (Stand 2. 7. 2014); Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014); Grünendahl/Steinbacher/Will, Das IT-Gesetz – Compliance in der IT-Sicherheit (2009); Haidinger, Was sind personenbezogene Daten? DAKO 2014/1, 17; Hauschka, Von Compliance zu Best Practice, ZRP 2006, 258; Hausegger, Compliance-Management durch IT-Governance – Einsatz von Best-Practice Modellen und Optimierungsmöglichkeiten (2008); ISACA, COBIT 5 Enabling; IT Governance Institute, Control Objectives for Information and Related Technology (2008); Knyrim, Datenschutzrecht (2012); Kranawetter (Hrsg), Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung (2009); Lösle/Maudrich, Die Prüfung des internen Kontrollsystems – Erfahrungen zweier Wirtschaftsprüfer/Steuerberater/Certified Public Accountants, DSWR 2006, 5; Schirmer/Uitz, Unternehmensführung und Gesellschaftsrecht; Rechtliche Aspekte von IT-Compliance, in Wecker/v. Laak (Hrsg), Compliance in der Unternehmenspraxis – Grundlagen, Organisation und Umsetzung (2008) 119; Umnuß (Hrsg), Corporate Compliance Checklisten – Rechtliche Risiken im Unternehmen erkennen und vermeiden (2008); Wecker/v. Laak (Hrsg), Compliance in der Unternehmenspraxis – Grundlagen, Organisation und Umsetzung (2008).
A. Einhaltung Datenschutz In der unternehmerischen Praxis hat das Thema Datenschutz nicht zuletzt durch die diversen Datenschutzskandale der vergangenen Jahre immer mehr Aufmerksamkeit erlangt – mittlerweile auch die des Top-Managements. Folglich entwickelt sich ITCompliance vom ungeliebten und nicht beachteten Randgebiet zu einem unumgänglichen „must-have“ für alle Unternehmen. Zahlreiche Unternehmen hinterfragen inzwischen ihre Praxis der Datennutzung dahingehend, ob sie mit den in Österreich anzuwendenden gesetzlichen Vorschriften hinsichtlich Datenschutz in Einklang steht und gelangen regelmäßig zur Erkenntnis, dass insb historisch gewachsene Strukturen und Datennutzungen in der bisher gewählten Form oft nicht „compliant“ sind. In Österreich regelt insb das Datenschutzgesetz 2000 (DSG) in seiner aktuellen Fassung, inwiefern Daten verwendet werden dürfen. Im Folgenden sollen die wesentlichsten Inhalte des DSG kurz dargestellt werden.
1. Grundrecht auf Datenschutz Das Grundrecht auf Datenschutz ist in Österreich eine Verfassungsbestimmung und in Art 1 § 1 DSG geregelt. Es ist ein Jedermannsrecht und schützt daher nicht nur österr Staatsbürger, sondern alle Personen. Zudem entfaltet das Grundrecht auf Datenschutz auch Wirkung zwischen privaten Personen.
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
147
IT-Compliance
Pallwein-Prettner/Kleebauer/Loma-Sanchez
Die weiteren Bestimmungen des DSG sind nicht im Verfassungsrang und gestalten das Grundrecht auf Datenschutz auch nicht näher aus, sie können jedoch zur Auslegung des Grundrechts herangezogen werden.
2. Welche Daten sind geschützt? Das DSG schützt personenbezogene Daten, die von Auftraggebern verwendet werden. Unter Daten versteht das DSG alle Angaben über Betroffene, unabhängig davon in welcher Form diese vorliegen. Daten iSd DSG können daher zB auf Papier, auf einem technischen Datenträger vorliegen oder auch Informationen sein, die nur einmalig wahrgenommen werden können. Diese Definition umfasst daher auch analog oder digital gespeicherte Bildersammlungen oder Videos, Tonmitschnitte, Standortdaten, Fingerabdrücke oder auch Gespräche, die wahrgenommen werden können. Es sind nicht nur unmittelbar gewonnene Daten vom DSG-Datenbegriff umfasst, sondern auch statistische Hochrechnungen, wie zB Scoring-Werte iZm Bonitätsprüfungen. Dem Schutz des DSG unterliegen Daten jedoch nur dann, wenn sie personenbezogen sind. Personenbezogen sind Daten dann, wenn die Zugehörigkeit zu einer konkreten Person anhand der Daten bestimmt oder mit rechtlich zulässigen Mitteln bestimmbar ist. Daher ist nicht nur die durch Daten bestimmte Identität geschützt, sondern auch Daten, mit deren Hilfe es möglich ist, eine Person zu bestimmen (zB im Kontext mit anderen vorhandenen Daten oder mit öffentlich zugänglichen Daten). Bei der Beurteilung der Bestimmbarkeit müssen alle Mittel berücksichtigt werden, die vernünftiger und rechtmäßiger Weise – von wem auch immer – eingesetzt werden könnten, um den Betroffenen zu identifizieren. Bestimmte Datenarten werden durch das DSG speziell geschützt. Sog sensible Daten umfassen Daten über rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder das Sexualleben natürlicher Personen. Sensible Daten dürfen nur unter sehr eingeschränkten Bedingungen verwendet werden. Eine besondere Form von Daten iSd DSG stellen indirekt personenbezogene Daten dar, die einen geringeren Schutz genießen. Der Unterschied zu direkt personenbezogenen Daten liegt darin, dass die Identifizierung des Betroffenen mit rechtlich zulässigen Mitteln nicht möglich ist. Nicht ausreichend in diesem Zusammenhang ist jedoch eine vertragliche Festlegung, der zufolge die Identität nicht bestimmt werden darf; vielmehr darf die Person tatsächlich nur unter Anwendung rechtlich unzulässiger Mittel bestimmbar sein. Die Datenschutzbehörde versteht darunter insb strafrechtswidrige Mittel, die zB zur Erlangung eines Identifikationsschlüssels dienen. Indirekt personenbezogene Daten sind im DSG hinsichtlich der Meldepflicht und im Rahmen des internationalen Datenverkehrs privilegiert. Zudem kann bei der Verwendung dieser Daten keine Beeinträchtigung der Geheimhaltungsinteressen der Betroffenen entstehen. Nicht dem Schutz des DSG unterliegen anonyme oder öffentlich verfügbare Daten. Damit Daten als anonym gelten, muss eine Re-Identifizierung mit vernünftigen Mitteln 148
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Pallwein-Prettner/Kleebauer/Loma-Sanchez
A. Einhaltung Datenschutz
ausgeschlossen sein. An eine Anonymisierung müssen hohe Maßstäbe angesetzt werden. In der Praxis kommt es regelmäßig vor, dass Daten „pseudonymisiert“ werden, also lediglich das primäre Identifikationsmerkmal (zB Name) entfernt wird. Sofern jedoch aus den übrigen Daten ein Personenbezug hergestellt werden kann (zB Geburtsdatum, Wohnort und Beruf), handelt es sich aufgrund der Bestimmbarkeit nicht um anonyme Daten. Auch Schwärzungen von Daten, die „nur“ elektronisch eingefügt werden, sind idR mit einfachen Mitteln entfernbar und daher grundsätzlich nicht dazu geeignet, Dokumente zu anonymisieren. Nur wenn die Identität des Betroffenen überhaupt nicht mehr feststellbar ist, sind Daten anonym. Die drei Akteure des DSG sind Auftraggeber (AG), Dienstleister und Betroffener. AG können natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft sein, die alleine oder gemeinsam mit anderen die Entscheidung treffen, Daten zu verwenden. Nicht relevant ist, ob ein AG die Daten selbst verwendet oder damit einen Dienstleister beauftragt. Dienstleister iSd DSG unterscheiden sich von AG dadurch, dass sie Daten nicht für ihre eigenen Zwecke nutzen, sondern lediglich Daten im Auftrag eines AG verwenden. Betroffene iSd DSG, deren Daten durch das DSG geschützt werden, sind all jene, deren Daten im Zuge der Datenverarbeitung verwendet werden. Eine Besonderheit des Anwendungsbereichs des DSG, die in der Praxis insb international oft auf Verwunderung stößt, ist, dass das DSG in Österreich nicht nur auf natürliche sondern auch auf juristische Personen oder Personengemeinschaften anwendbar ist. Betroffene iSd DSG können daher auch Unternehmen bei einem reinen B2B-Geschäft sein. Dem Schutz des DSG unterliegt jede Verwendung von personenbezogenen Daten (zB deren Verarbeitung durch den AG selbst oder einen Dienstleister sowie deren Übermittlung an andere AG). Als Datenverarbeitung definiert das DSG das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns von Daten. Datenanwendungen iSd DSG sind logisch zusammengefasste Datenverarbeitungen, die zur Erreichung eines bestimmten Zweckes erforderlich sind. Beispiele für Datenanwendungen aus der Praxis sind HR-Managementprogramme, Whistleblowing-Hotlines, CRM-Programme oder Karriereprogramme für Mitarbeiter. Das DSG ist grundsätzlich innerhalb der EU immer dann anwendbar, wenn ein AG mit Sitz in Österreich personenbezogene Daten verwendet („Sitzstaatprinzip“). Zudem findet das DSG dann Anwendung, wenn ein ausländischer AG mit Sitz in einem anderen Mitgliedstaat der EU in Österreich Daten für Zwecke einer österr Niederlassung verwendet.
3. Zulässige Datenverwendung und Löschung Das DSG verbietet grundsätzlich jegliche Verwendung von personenbezogenen Daten. Dies ist zum Verständnis der Systematik des DSG elementar. Jede zulässige Verarbei-
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
149
Wirtschaftsstrafrecht und Compliance
Barbist/Albiez/Koukol
E. Compliance-Maßnahmen zur Korruptionsprävention Eine wesentliche Stoßrichtung des Bemühens um rechtskonformes Handeln in Unternehmen ist die Bekämpfung der Korruption. Die Korruptionsdelikte haben in den letzten Jahren besondere Aufmerksamkeit erlangt, dies auch deshalb, weil sie vom Gesetzgeber seit 2008 gleich dreimal tiefgreifend verändert wurden. Seit dem 1. 9. 2011 ist die WKStA für die meisten Korruptionsdelikte (Wert des Vorteils über EUR 3.000) zuständig. Ihr obliegt die Leitung des Ermittlungsverfahrens, die Einbringung der Anklage und die Vertretung im Hauptverfahren und im Verfahren vor dem Oberlandesgericht (§ 20a StPO). Die Ermittlungen erfolgen grundsätzlich in enger Zusammenarbeit mit dem Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK). Um Korruption im Unternehmen hintanzuhalten, sind im Zuge der Risikoanalyse jene Bereiche im Unternehmen zu lokalisieren, in denen die Gefahr, dass Bestechungsgelder fließen, besonders groß ist. Typischerweise handelt es sich um Bereiche, in denen regelmäßig Kontakt zu öffentlichen Amtsträgern besteht. Abteilungen, die für den Aufbau neuer oder die Pflege bestehender Geschäftsbeziehungen zuständig sind, sind generell stärker gefährdet. Auch der Einsatz von Intermediären vergrößert das Korruptionsrisiko. In Bezug auf die operativen Maßnahmen im Bereich der Anti-Korruptions-Compliance gilt wiederum, dass klare, für die Mitarbeiter verständliche Verhaltensregeln aufzustellen sind. Es wird durch Regelvorgaben und Schulungen kommuniziert, welches Verhalten verboten und welches erlaubt ist.
1. Korruption im öffentlichen Sektor Zentraler Anknüpfungspunkt der Bestechungsdelikte im öffentlichen Bereich ist der „Amtsträger“. Im Zuge des KorrStrÄG 2012 wurde der Amtsträgerbegriff ausgeweitet. Amtsträger sind nunmehr alle Personen, die • für eine Gebietskörperschaft (Bund, Land, Gemeinde), für eine andere Person des öffentlichen Rechts (nicht jedoch Kirchen und Religionsgesellschaften), für einen anderen Staat oder für eine internationale Organisation Aufgaben der Gesetzgebung, Verwaltung oder Justiz als deren Organ oder Dienstnehmer wahrnehmen (zB Abgeordnete des Nationalrats, des Bundesrats, der Landtage; Bürgermeister und Gemeindebedienstete; aber auch Universitätsprofessoren oder Funktionäre bei Interessenvertretungen als Organe oder Dienstnehmer „anderer Personen des öffentlichen Rechts“); • sonst im Namen der soeben genannten Körperschaften befugt sind, in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen („beliehene Amtsträger“, zB ein Kfz-Mechaniker, der die Begutachtungsplakette nach § 57a KFG ausstellt); • für ein Unternehmen tätig sind, an dem eine oder mehrere, in- oder ausländische Gebietskörperschaften eine mittelbare oder unmittelbare Beteiligung von mind 50 % halten, das von einer solchen Gebietskörperschaft betrieben oder tatsächlich be186
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Barbist/Albiez/Koukol
E. Compliance-Maßnahmen zur Korruptionsprävention
herrscht wird oder das der Kontrolle des Rechnungshofs unterliegt (zB alle Personen, die in öffentlichen Krankenhäusern oder Verkehrsbetrieben beschäftigt sind). Strafbar ist primär, dem Amtsträger für die pflichtwidrige Vornahme eines Amtsgeschäfts einen Vorteil anzubieten, zu versprechen oder zu gewähren (Bestechung nach § 307 Abs 1 StGB; der Amtsträger wird spiegelbildlich nach § 304 StGB bestraft). Je höher der zugewendete Vorteil, desto strenger die Strafdrohung (vgl zB § 307 Abs 2 StGB). Aber auch die Zuwendung von Vorteilen für die pflichtgemäße Verrichtung eines Amtsgeschäfts ist strafbar. In diesem Bereich sind durch die jüngste Novelle Einschränkungen weggefallen und es ist ein neuer Begriff zur Abgrenzung der Strafbarkeit eingeführt worden: der ungebührliche Vorteil. Die Vorteilszuwendung für ein pflichtgemäßes Amtsgeschäft ist nur strafbar, wenn ein ungebührlicher Vorteil zugewendet wird. Im Gesetz findet sich eine negative Definition, welche Vorteile nicht ungebührlich (§ 305 Abs 4 StGB) sind: • Vorteile, deren Annahme gesetzlich erlaubt ist; in Ermangelung spezialgesetzlicher Erlaubnisnormen orts- oder landesübliche Aufmerksamkeiten geringen Werts (unter solche fallen nur Sachzuwendungen, nicht Geldleistungen). • Vorteile, die im Rahmen von Veranstaltungen gewährt werden, an deren Teilnahme ein amtlich oder sachlich gerechtfertigtes Interesse besteht (zB die Teilnahme der Ministerin für Unterricht, Kunst und Kultur an der Eröffnung der Salzburger Festspiele). Umfasst sind jedoch nur Eintritts- und Teilnahmegebühren, sowie Kosten für Verpflegung und Nächtigung. Heikel ist es, wenn die Einladung nicht durch den Veranstalter selbst, sondern über einem Dritten erfolgt (der sich uU in Zukunft eine wohlwollendere Behandlung durch den Amtsträger oder gar die Vornahme eines bestimmten Amtsgeschäfts erhofft). • Vorteile für gemeinnützige Zwecke, auf deren Verwendung der Amtsträger keinen bestimmenden Einfluss ausübt (zB Zuwendungen an einen kulturellen Verein oder einen Sportverband, jedoch stets unter der Voraussetzung, dass der Amtsträger nicht bestimmt, wie der Vorteil verwendet wird). Die Strafbarkeit wurde durch die Novelle weiter ins Vorfeld eines Amtsgeschäfts verlagert. Nunmehr ist auch das sogenannte „Anfüttern“ bzw die „Klimapflege“ unter Strafe gestellt (§§ 306 und 307b StGB). Strafbar ist, wer einem Amtsträger einen ungebührlichen Vorteil für ihn oder einen Dritten anbietet, verspricht oder gewährt und dies mit dem Vorsatz tut, den Amtsträger dadurch in seiner Tätigkeit zu beeinflussen. Ein ursächlicher Zusammenhang zwischen einem bestimmten Amtsgeschäft und der Vorteilszuwendung ist nicht erforderlich, ebenso entfällt die Unterscheidung in pflichtwidriges oder pflichtgemäßes Tätigwerden des Amtsträgers. Bei der Prüfung der Strafbarkeit nach diesem Tatbestand durch das Strafgericht hängt viel von der Beurteilung der inneren Tatseite des Vorteilsgebers bzw des Amtsträgers ab. Wurde ein ungebührlicher Vorteil zugewendet, entscheidet der Vorsatz über Strafbarkeit oder Straflosigkeit. Steht einer Zahlung eine adäquate Gegenleistung des Amtsträgers gegenüber, für die ein Honorar verrechnet werden darf, liegt überhaupt kein Vorteil iSd Bestechungstatbestände vor. Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
187
Wirtschaftsstrafrecht und Compliance
Barbist/Albiez/Koukol
Im Zusammenhang mit dem „Anfüttern“ besteht für Amtsträger eine besondere Ausnahme: Wer lediglich einen geringfügigen Vorteil annimmt oder sich versprechen lässt, bleibt straflos, es sei denn er begeht die Tat gewerbsmäßig. Geringfügig sind Vorteile im Bereich von 100 EUR. Der Strafausschließungsgrund greift aber nicht, wenn der Amtsträger den Vorteil fordert und ist auch auf den Geber des Vorteils nicht anwendbar. Da die „Klimapflege“ in dieser Form vor der Novelle nicht strafbar war, ist darauf zu achten, wann das strafbare Verhalten gesetzt wurde – war es vor Inkrafttreten der neuen, strengeren Bestimmung, ist die alte Rechtslage maßgeblich. Um Umgehungen der Bestechungsdelikte nicht allzu leicht zu machen, steht – als subsidiär anzuwendender Auffangtatbestand – auch die verbotene Intervention unter Strafe (§ 308 StGB). Strafbar ist, wer für sich oder einen Dritten einen Vorteil dafür fordert, annimmt oder sich versprechen lässt, dass er einen ungebührlichen Einfluss auf die Entscheidungsfindung eines Amtsträgers nimmt. Spiegelbildlich ist zu bestrafen, wer einem anderen für die ungebührliche Einflussnahme auf die Entscheidungsfindung eines Amtsträgers einen Vorteil anbietet, verspricht oder gewährt. Ungebührlich ist die Einflussnahme auf die Entscheidungsfindung eines Amtsträgers dann, wenn sie auf die pflichtwidrige Vornahme oder Unterlassung eines Amtsgeschäfts abzielt oder mit dem Anbieten, Versprechen oder Gewähren eines ungebührlichen Vorteils für den Amtsträger verbunden ist. Es ist somit nicht jede Art der Einflussnahme auf die Entscheidungsfindung strafbar, rechtmäßiges Lobbying oder auch die rechtmäßige Vertretung von Mandanten bewirkt selbstverständlich keine Strafbarkeit. Auch für die verbotene Intervention gilt, je höher der Vorteil, desto strenger die Strafdrohung. Im Zuge der Novelle ist die Möglichkeit weggefallen, nach Begehung eines Bestechungsdeliktes durch tätige Reue straffrei zu werden. Einziger Ausweg nach erfolgter Delinquenz ist daher eine Kooperation mit der Staatsanwaltschaft als „Kronzeuge“. Auch die Judikatur zu den Bestechungsdelikten hat sich in den letzten Jahren weiterentwickelt. So hat der OGH (25. 2. 2013, 17 Os 13/12h) nunmehr entgegen der bisherigen Judikatur entschieden, dass eine echte Konkurrenz zwischen dem Tatbestand des Amtsmissbrauchs (§ 302 StGB) und den Bestechungstatbeständen (§§ 304 ff StGB) besteht. Früher war die Ansicht herrschend, dass die Bestechungsdelikte bei entsprechendem Vorsatz des Amtsträgers und des Vorteilsgebers vom Missbrauch der Amtsgewalt verdrängt werden. Nunmehr ist eine Bestrafung nach beiden Delikten möglich.
2. Korruption im privaten Wirtschaftsleben Auch die seit 2008 bestehenden Normen, die die Bestechung von Bediensteten und Beauftragten im privaten Bereich pönalisieren, wurden durch das KorrStrÄG 2012 angepasst. Formal wurden sie zu einer Bestimmung (§ 309 StGB) im Bereich der Korruptionsdelikte zusammengefasst. Zudem entfiel die Bestimmung, nach der die Grunddelikte nur auf Verlangen des Verletzten zu verfolgen waren. Auch bei den Beste-
188
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Tax Compliance
Punzhuber/Wimpissinger
D. Folgen fehlender oder mangelhafter Tax Compliance Die Nichtbefolgung abgabenrechtlicher Pflichten kann sowohl abgabenrechtliche als auch zivilrechtliche und sogar strafrechtliche Sanktionen nach sich ziehen. Neben Höhe und Art der Haftung ist die Frage, wer haftet, entscheidend.
1. Sanktionen nach der BAO 1.1. Zwangsstrafe und Schätzung Wird die Einreichung von Abgabenerklärungen unterlassen, ermöglicht § 111 BAO die Verhängung einer Zwangsstrafe (auch wiederholt) unter vorheriger Aufforderung und Androhung. Die einzelne Zwangsstrafe darf EUR 5.000 nicht übersteigen. Die Höhe ist eine Ermessensentscheidung, bei der das bisherige steuerliche Verhalten und die Höhe einer allfälligen Steuernachforderung zu berücksichtigen sind. Insb dann, wenn die Besteuerungsgrundlagen nicht ermittelbar sind, ist die Finanzbehörde berechtigt, eine Schätzung durchzuführen. Der VwGH hat bereits mehrfach judiziert, dass die Nichteinreichung von Abgabenerklärungen eine derartige Berechtigung begründet. Ohne auf die einzelnen Methoden der Schätzung einzugehen, ist auf die (in der Praxis üblichen) Anwendung eines Sicherheitszuschlages hinzuweisen. Auf die Schätzung kann im Extremfall auch bei formellen Mängeln in der Buchführung zurückgegriffen werden.
1.2. Verspätungszuschlag, Säumniszuschlag, Anspruchszinsen Wird eine Abgabenerklärung verspätet eingereicht, kann die Finanzbehörde gem § 135 BAO einen Verspätungszuschlag iHv bis zu 10 % der festgesetzten Abgabe auferlegen, wenn die Verspätung nicht entschuldbar ist. Bereits eine leichte Fahrlässigkeit schließt die Entschuldbarkeit aus. Wie bereits oben ausgeführt, gilt bei einem Verstoß gegen die Pflicht zur elektronischen Übermittlung die schriftliche Erklärung dennoch als Abgabenerklärung. Ein Verspätungszuschlag aus diesem Grund kommt daher ebenso wenig in Betracht wie für den Fall, dass sich der Steuerpflichtige auf eine vertretbare Rechtsmeinung berufen kann. Gemäß § 217 BAO ist die Finanzbehörde verpflichtet, bei Nichtentrichtung einer Abgabe spätestens am Fälligkeitstag einen ersten Säumniszuschlag iHv 2 % der verspäteten Abgabe einzuheben. Zusätzlich ist ein zweiter und dritter Säumniszuschlag zu entrichten, wenn unter Berücksichtigung der Fristen des § 217 BAO die Zahlung weiterhin nicht erfolgt. Falls den Steuerpflichtigen allerdings kein grobes Verschulden trifft, kann der Säumniszuschlag entsprechend herabgesetzt werden oder sogar entfallen (zB wenn sich der Steuerpflichtige auf eine vertretbare Rechtsauffassung stützen kann).
204
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
Punzhuber/Wimpissinger
D. Folgen fehlender oder mangelhafter Tax Compliance
Die Anspruchszinsen gem § 205 BAO sind uE weniger als Sanktion, sondern als Finanzierungsform zu verstehen. Diese werden auf Basis der Differenzbeträge zwischen Einkommen- bzw Körperschaftsteuervorauszahlungen und der jeweiligen Abgabenschuld ab 1. Oktober des jeweiligen Folgejahres verrechnet.
2. Strafrechtliche Folgen Unter den Sanktionen des Gesetzgebers bei Nicht-Befolgung abgabenrechtlicher Pflichten stellt das Finanzstrafrecht die ultima ratio dar. Die in der Praxis wesentlichsten Finanzvergehen nach dem FinStrG sind die fahrlässige Abgabenverkürzung, die vorsätzliche Abgabenhinterziehung, der Schmuggel und die Finanzordnungswidrigkeiten. In jedem Fall setzt die finanzstrafrechtliche Verantwortung eine schuldhafte, also vorsätzliche oder fahrlässige Pflichtverletzung voraus. Ein Verschulden liegt indes dann nicht vor, wenn sich der Steuerpflichtige auf eine vertretbare Rechtsauffassung stützen kann. Für sämtliche Finanzvergehen sind Geldstrafen vorgesehen. Daneben bestehen für bestimmte Fälle die Strafen des Verfalls und des Wertersatzes sowie bei schwerwiegenderen Delikten va auch Freiheitsstrafen. Die Abgabenhinterziehung wird etwa mit Geldstrafen bis zum Zweifachen des verkürzten Betrages bestraft. Daneben kann eine Freiheitsstrafe von bis zu zwei Jahren verhängt werden (§ 33 Abs 5 FinStrG).
3. Verantwortliche Personen 3.1. Möglicher Personenkreis Aus dem Blickwinkel des Unternehmens stellt sich die Frage, wer für die Einhaltung der abgabenrechtlichen Vorschriften verantwortlich ist und wer allfällige Folgen der Verletzung abgabenrechtlicher Vorschriften zu tragen hat. Grundsätzlich kommen dafür sämtliche Personen in Betracht, die in irgendeiner Weise mit der Führung des Unternehmens oder mit der Bearbeitung steuerlicher Agenden im Unternehmen betraut sind. In den Kreis potenziell Verantwortlicher wären zB Einzelunternehmer, Gesellschaftsorgane, wie Geschäftsführer, Vorstand und Aufsichtsrat, aber auch Gesellschafter von Kapital- und Personengesellschaften genauso aufzunehmen wie Dienstnehmer (zB leitende Angestellte oder Sachbearbeiter) oder externe Berater.
3.2. Haftung des Steuerschuldners Im Regelfall trifft den Steuerschuldner, also denjenigen, der den Abgabentatbestand verwirklicht hat, auch die Pflicht zur Erklärung und zur Entrichtung der Steuer. Dies kann aber, wie zB bei Lohnsteuer und Kapitalertragsteuer, auseinanderfallen, da der Dienstgeber bzw die auszahlende Stelle zwar nicht der Steuerschuldner, wohl aber der Erklärungs- und Abfuhrverpflichtete ist. Steuerschuldner kann jede natürliche oder juristische Person sein. Aber auch zivilrechtlich nicht oder nur teilweise rechtsfähige Einheiten, wie zB Betriebe gewerblicher Art Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_04
205
Compliance in Versicherungsunternehmen – besondere Anforderungen
Smrekar/Korherr/Wittmann
C. Compliance-Spezifika bei Versicherungsunternehmen 1. Allgemeine Governance-Anforderungen Die entsprechenden Bestimmungen finden sich in Art 40, 41 und 246 der RRL, in den §§ 106–108 bzw 220–225 des VAG 2016, in Art 258 der Durchführungsverordnung und schließlich in den Abschnitten 3–10, 31–32 und 48–52 der EIOPA-Leitlinien SoG. Die Compliance-Funktion wird durch die RRL als eine von vier Governance-Funktionen implementiert, die im Rahmen des Governance-Systems (Säule 2) eingerichtet werden müssen. Darüber hinaus gibt es eine Reihe von allgemeinen und besonderen Anforderungen an das Governance-System, die auf organisatorischer Ebene dafür sorgen sollen, dass die in Säule 1 festgelegten Berechnungs- und Bewertungsvorschriften und die in Säule 3 festgelegten Berichtspflichten eingehalten werden und ein ordnungsgemäßer Geschäftsbetrieb gewährleistet ist. Einleitend wird in § 106 VAG 2016 festgehalten, dass der Vorstand für die Einhaltung der Vorschriften verantwortlich ist und ein wirksames Governance-System einzurichten hat, das eine solide und vorsichtige Unternehmensleitung gewährleistet. Dieses System soll der Wesensart, dem Umfang und der Komplexität der Geschäftstätigkeit angemessen sein (Proportionalitätsprinzip, Grundsatz der Verhältnismäßigkeit) und ist regelmäßig zu überprüfen. Die allgemeinen Anforderungen an das Governance-System sind vielfältig und betreffen sowohl aufbau- (zB transparente Organisationsstruktur, angemessene Funktionstrennung oder die Einrichtung der Governance-Funktionen) als auch ablauforganisatorische Aspekte (zB wirksames Berichtssystem, interne schriftliche Leitlinien, Notfallpläne) sowie die Forderung, andere speziellere Governance-Vorschriften (zB Fit&Proper, Auslagerung, Risikomanagement oder IKS) einzuhalten. Eine Kernkomponente des Governance-Systems ist die Einrichtung der vier Governance-Funktionen (Risikomanagement-Funktion, Compliance-Funktion, Interne Revision und versicherungsmathematische Funktion). Nach dem Verständnis von SII sollen diese die zweite (2nd line of defence) bzw dritte Verteidigungslinie (3rd line of defence, Interne Revision) nach den operativ tätigen Risikoeignern einnehmen. Deshalb müssen sie auch von den operativen Geschäftsbereichen unabhängig sein und es sind spezielle Verfahren zur Erkennung und Behandlung von Interessenskonflikten einzurichten. Es ist allerdings zu beachten, dass auch die Governance-Funktionen bezüglich ihrer eigenen Risiken Risikoeigner und somit erste Verteidigungslinie (1st line of defence) sind. Ganz besonders gilt dies für die Compliance-Funktion, der die Rechts- und Compliance-Risiken zugeordnet sind. In der L2-VO werden neben Detaillierungen der RRL auch neue, nicht in der RL enthaltene Anforderungen aufgestellt, wie zB die Einführung einer schriftlich fixierten Vergütungspolitik und wirksame Prozesse und Verfahren zur Vermeidung von Interessenskonflikten.
314
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Smrekar/Korherr/Wittmann
C. Compliance-Spezifika bei Versicherungsunternehmen
Die beschriebenen Anforderungen gelten nicht nur für jedes Versicherungs- und Rückversicherungsunternehmen (Solo-Ebene), sondern auch für Versicherungsgruppen (Gruppen-Ebene). Dh es ist ein entsprechendes Gruppen-Governance-System einzurichten und dafür Sorge zu tragen, dass die Gruppenleitlinien in allen Unternehmen der Gruppe konsistent umgesetzt werden. Die SII-Bestimmungen zum Governance-System sowie zu dem darin enthaltenen Risikomanagement-System können somit als Beschreibung eines branchenspezifischen Referenzsystems verstanden werden. Dessen Einhaltung ist nicht nur von der ComplianceFunktion zu überwachen, es ist auch als Sollvorgabe für die Prüfung von Design und Implementierung des Governance-Systems zu verwenden. In der Folge werden die einzelnen Funktionen oder Aufgabengebiete des GovernanceSystems kurz beschrieben, um einen Überblick über die einzuhaltenden Organisationsvorschriften zu geben.
2. Internes Kontrollsystem Nach den einschlägigen Bestimmungen in Art 46 der Solvency II-RRL sowie des § 117 VAG 2016 haben Versicherungs- und Rückversicherungsunternehmen ein wirksames IKS einzurichten, das zumindest Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen, ein angemessenes Melde- und Berichtswesen auf allen Unternehmensebenen und eine Funktion der Überwachung der Einhaltung der Solvency IIAnforderungen (Compliance-Funktion) umfasst. In der Praxis hat sich durchgesetzt, das IKS bei Versicherungsunternehmen entsprechend der Kernprozesse bzw Kernsysteme wie folgt aufzusetzen: • Prämien- und Provisionsverrechnung • Schadenverrechnung • Mit- und Rückversicherung • Kapitalveranlagung Natürlich sind neben dem IKS in den Kernprozessen auch die unternehmensspezifischen Grundlagen des IKS (Kontrollumfeld, Risikobewusstsein, Information und Kommunikation sowie allgemeine Kontrollen) zu beachten. Nicht zuletzt ist gerade bei Versicherungsunternehmen auf Basis eines sehr intensiven EDV-Einsatzes in nahezu allen Unternehmensbereichen auch das Zusammenwirken mit EDV-Kontrollsystemen zu beachten.
3. Interne Revision Nach den Bestimmungen des § 119 VAG 2016 haben Versicherungs- und Rückversicherungsunternehmen eine wirksame Interne Revision-Funktion einzurichten. Diese hat die Gesetzmäßigkeit, Ordnungsmäßigkeit und Zweckmäßigkeit des Geschäftsbetriebes des Versicherungs- oder Rückversicherungsunternehmens sowie die Ange-
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
315
Compliance in Versicherungsunternehmen – besondere Anforderungen
Smrekar/Korherr/Wittmann
messenheit und Wirksamkeit des IKS und der anderen Bestandteile des GovernanceSystems zu prüfen. Die Interne Revision-Funktion hat objektiv und von anderen operativen Tätigkeiten unabhängig zu sein. Sie hat alle Feststellungen und Empfehlungen dem Vorstand mitzuteilen. Der Vorstand hat zu beschließen, welche Maßnahmen aufgrund der Feststellungen zu ergreifen sind und hat die Durchführung dieser beschlossenen Maßnahmen sicherzustellen. Zusätzlich hat die Interne Revision-Funktion die Inhalte des Prüfplanes und wesentliche Feststellungen und Empfehlungen aufgrund durchgeführter Prüfungen quartalsweise dem Vorsitzenden des Aufsichtsrats sowie dem Prüfungsausschuss mitzuteilen. Der Vorsitzende des Aufsichtsrats hat in der nächstfolgenden Sitzung des Aufsichtsrats über die Prüfungsgebiete und die wesentlichen Prüfungsfeststellungen zu berichten.
4. Risikomanagement und ORSA Die einschlägigen Bestimmungen zu den Themen Risikomanagementsystem, Risikomanagement-Funktion und ORSA finden sich in Art 44 und 45 der RRL, in §§ 110 bis 112 des VAG 2016, in Art 259 bis 269 der Level 2-VO sowie in einer Reihe von EIOPA Guidelines. Ein Kernbereich des Governance-Systems ist die Errichtung eines RisikomanagementSystems unter der Methoden- und Prozess-Hoheit der Risikomanagement-Funktion. Das Risikomanagement-System wird definiert als ein System, das Strategien, Prozesse und Meldeverfahren umfasst, die erforderlich sind, um eingegangene oder potenzielle Risiken kontinuierlich auf Einzelbasis und auf aggregierter Basis zu erkennen, zu messen, zu überwachen, zu managen und darüber Bericht zu erstatten und das in die Organisationsstruktur und Entscheidungsprozesse der Versicherung integriert ist. Es muss alle risikobildenden Bereiche sowie die Einhaltung des Prudent-Person-Prinzips (Grundsatz der unternehmerischen Vorsicht in der Kapitalveranlagung) abdecken. Im Rahmen des Risikomanagement-Systems ist auch regelmäßig – als strategische Komponente und Verbindung zur Unternehmensplanung – eine unternehmenseigene Risiko- und Solvabilitätsbeurteilung (ORSA – own risk and solvency assessment) durchzuführen. Dabei ist sicherzustellen, dass der ORSA ein integraler Bestandteil der Geschäftsstrategie ist und seine Ergebnisse kontinuierlich in die strategischen Entscheidungen der Versicherung einfließen. Die Grundaufgabe der Risikomanagement-Funktion ist die Erleichterung der Umsetzung des Risikomanagement-Systems sowie dessen Überwachung. Weiters hat sie das Risikoprofil zu überwachen, über alle Risikoexponierungen Bericht zu erstatten, sich abzeichnende Risiken3 zu ermitteln und zu bewerten sowie den Vorstand in allen Fragen des Risikomanagements zu beraten.
3
Potenzielle Risiken – emerging risks.
316
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Stichwortverzeichnis A Änderungskündigung 87 Änderungsvorbehalt 88 Ablauforganisation 44, 261 Ablauforganisation öffentlicher Unternehmen 352 Abschlussprüfer 43 Absprachen 215 Achtung des Privat- und Familienlebens 89 Ad-hoc-Kontrollen 111 Ad-hoc-Maßnahmen 109 Ad-hoc-Publizität 326 Ad-hoc-Untersuchung 123 Ad-hoc-Untersuchungen 122 AFM 83 AGB 87 Akzeptanz des Risikos 28 Allgemeine Geschäftsbedingungen 87 Amtlicher Handel 324 Amtsgeschäft 187 Amtsträger 186 Analyse 240 Anfüttern 187 angemessenes Datenschutzniveau 152 angemessenes Entgelt 240 Angemessenheitsprüfung 49, 139 anlassbezogene Vertraulichkeitsbereiche 330 anonyme oder öffentlich verfügbare Daten 148 Anti-Fraud-Beauftragter 61 Anti-Fraud-Manager 61 Anwaltspanel 29 Anwaltsprivileg 225 Arbeitsinspektorat 264 Arbeitsverhältnis 86 Arbeitsverträge 87 Archiv- und Sicherungsdateien 150 Archivierung 158 Audit 306 Aufbauorganisation 40, 261
Aufbauorganisation öffentlicher Unternehmen 351 Aufbewahrung von personenbezogenen Daten 157 Aufbewahrungspflicht 197 Aufsichtsrat 43, 302 Aufsichtsratsvorsitzender 303 Auftraggeber 98, 149 Auftragnehmer 151 Aufzeichnungspflichten 269 Ausschüsse 302 Auswahl-, Informations- und Kontrollpflichten 192 Auswahlverschulden 8 Außenprüfung 208 B B-PCGK 347 B-VV 347 Bankgeheimnis 291 Beauftragte 267 Beauftragung von Detektiven 122 Behandlung 305 behörden- und gerichtsfeste Organisation 261 Being Public 325 Belegschaftsvertretung 91 Beratungs- und Informationsfunktion 286 Berichterstattungspflicht 9 Berichtspflichten 353 Bescheidregister 277 best practice 53 Beteiligungs- und FinanzcontrollingVerordnung 347 Beteiligungspublizität 332 Betrieb 91 betrieblicher Datenschutzbeauftragter 108 betriebliches Beschwerdewesen 102 Betriebsausschuss 91 Betriebseinrichtungen 101 Betriebsgeheimnis 87
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
363
Stichwortverzeichnis
Betriebsgeheimnisse – Know-how 233 Betriebsmittel 101 Betriebsrat 86, 90 Betriebsratspflicht 91 Betriebsvereinbarung 86, 90 Betroffener 149 Betroffenheitsanalyse 35 Beugestrafen 240 Beurteilung 305 Börsegang 324 Börsenotierung 324 Bundes-Vertragsschablonenverordnung (B-VV) 343 Business Judgment Rule 12 Business Partner Check 54 C Cards on the Table 55 chinese walls 248 Cloud Computing 244 Cloud-Lizenzen 245 COBIT 161 COBIT 5 160, 161, 162 COBIT 5-Prozesse 170 Code of Business Conduct 13 Code of Conduct 102 Code of Ethics 13 Codes of Conduct 289 Commitment 13, 41 Compliance 284, 285, 306 – Emittenten 329 – IT 147 – Kartellrecht 211 – Officer 330 – Organisation 235, 240 – Wirtschaftsrecht 171 Compliance Officer 41, 330 Compliance Programm – Kartellrecht 213 Compliance Sanctions Programm 54 Compliance-Ansprechpartner 301 Compliance-Ausschuss 43 Compliance-Beauftragte 24, 37, 183, 301 364
Compliance-Berichte 332 Compliance-Botschafter 54 Compliance-Effizienz 293 Compliance-Funktionen 292, 300, 304, 305 Compliance-Kommunikation 37, 61 Compliance-Kultur 32, 60, 137, 182, 293 Compliance-Management 58, 286, 291 Compliance-Management-System 135, 216 Compliance-Management-Systeme (CMS) 31 Compliance-Maßnahmen 47, 181, 286 Compliance-Officer 9, 301 Compliance-Organisation 12, 37, 61, 183, 216 Compliance-Programm 35, 47, 61, 137, 216 Compliance-Register 24 compliance-relevante Informationen 328, 330 Compliance-Richtlinie 87, 330 Compliance-Risiken 15, 23, 35, 60, 201 Compliance-Risiko 293, 304 Compliance-Risiko-Audit 182 Compliance-Risiko-Beurteilung 45 Compliance-Risikomanagement-Prozess 35 Compliance-Schulung und -Ausbildung 331 Compliance-Tätigkeitsbericht 332 Compliance-Überwachung 38 Compliance-Überwachung und -Verbesserung 62 Compliance-Verantwortliche 86, 106, 107, 305 Compliance-Verantwortung 41 Compliance-Ziele 34, 60, 137 Contracts for Difference 334 Control Design 52 Control Effectiveness 52 Control Objectives for Information and Related Technology 160 Cooling-off-Periode 302
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Stichwortverzeichnis
Corporate Governance 302, 336 Corporate Governance Kodex (ÖCGK) 336 Creative Compliance 28 Credo 13 Customer Due Diligence 301 D Data Breach Notification Duty 153 Daten 148 Daten, Übermittlung, Verwendung 98 Datenanalyse 57, 66, 83 Datenanwendung 98, 109, 110, 112, 116, 127, 149, 151, 152, 153 Datenanwendung, Auftraggeber 98 Datenschutz 109, 291 Datenschutzbehörde (DSB) 151 Datenschutzkonzept 159 Datenschutzrecht 109 Datensicherheit 154, 246, 247 Datentransfers 151 Datentransfers in die USA 152 Datentransfers in Staaten außerhalb der EU oder des EWR 152 Datenüberlassungen 151 Datenübermittlungen 151 Datenverarbeitung 149 Datenverarbeitungsregister (DVR) 151 Datenverfügbarkeit 157 De-facto-Geltung 289 Definition 19, 285 Delegation 41, 192, 261 Delphi-Methode 25 Diensterfindung 235 Dienstleister 149 Dienstordnung 238 Directors’ Dealings 335 Disponible BV 93 Disziplinarmaßnahme 129 Disziplinarordnung 94, 129, 130 Diversion 181 Dokumentation 181, 191 Dokumenten-Management 15 Domain 238
Domain-Registrierung 239 Drittverpflichtungserklärungen 191 E E-Learning 10 E-Mail 10 E-Mail-Verkehr 103, 118 E-Mail-Verkehr, dienstlich 120 E-Mail-Verkehr, privat 120 eigene Schutzrechte 241, 242 Eingriff 109 Eintrittswahrscheinlichkeit 24 Einzelvereinbarung 86, 88 elektronische Arbeitszeitkontrollsysteme 122 EMAS 268 Emittenten-Compliance 329 Emittenten-Compliance-Verordnung 330 Employee Handbook 102, 103 Entlassung 129, 131 Entlassungsgrund 115 Entscheidungsträger 179 ERP-Systeme 58, 67, 69 erzwingbare BV 94 Ethikregeln 103 EU-Beihilfenrecht 343 ex ante 7 F F&E 246 F&E-Vereinbarungen 247 fachlich Beauftragter 264 faktische Unsicherheit 22 fakultative (freiwillige) BV 93 finanzielle Verluste 294 Fit & Proper 304 Fit & Proper Policy 304 fit-and-proper-test 302 forensische Datenanalysen 67, 79 Forschung 235 Forschung & Entwicklung 235 Fraud 57 Fraud-Aufdeckung 58, 65, 69, 83 Fraud-Bearbeitung 58, 83 Fraud-Muster 67
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
365
Stichwortverzeichnis
Fraud-Prävention 58, 65, 83 Fraud-Vorfälle 57 freie Betriebsvereinbarung 93 fremde Schutzrechte 241 Fürsorgepflicht 89, 90
Haushaltsrecht 343 Helpline 224 hindsight bias 8 Hintergrundrecherche 82 Hinweisgebersysteme 44, 211
G
I
Garantenpflicht 13 Garantenstellung 192 Gebrauchsmuster 232 Gefährdungsanalyse 64 Gefahrenabwehr 280 Geldbußen 211 Geldstromanalysen 80 Geldwäschereibeauftragter 301 Geltungskontrolle 87 gemeinsamer Betriebsrat 91 Genehmigungskonsens 277, 279 generelle Weisungen 89 Geregelter Freiverkehr 324 Gesamtbankrisikosteuerung 296 Geschäfts-Know-how 233 Geschäfts- oder Betriebsgeheimnisse – Know-how 242 Geschäfts- und Betriebsgeheimnisse – Know-how 245 Geschäftsgeheimnis 87 Geschäftsleitung 351 Geschenkannahme 87, 100 Geschmacksmuster 233 Gewerbeinhaber 263 gewerberechtlicher Geschäftsführer 263 Gleichbehandlung 342 Going Public 324 Grundrecht 109 Grundrecht auf Datenschutz 147 Grundrechte 97 Grundsatz der Datenlöschung 150 Gruppenbetriebsrat 91
ICC Toolkit 214 Identifikation 305 IDW PS 980 49, 60, 136 Implementierung 50 indirekt personenbezogene Daten 148 individuelle Weisungen 89 Information 22 Informationspflicht 153 Informationsrisiko 24 Informationsweiterleitungspflicht 8 Inhaltskontrolle 87, 88 Inhouse-Privileg 343 Insider 328 Insiderinformation 326, 328 Insiderverzeichnis 331 institutsbezogene Sicherungssysteme 302 Instruktionsverschulden 8 integrierter Ansatz 293 Interessenkonflikte 41, 296, 355 intermediär 186 interne Kontrollmechanismen 285 Interne Revision 50, 59, 291, 297, 354 interne Untersuchungen und Internes Kontrollsystem 122 Internes Kontrollsystem (IKS) 23, 50, 58, 291, 295 Internes Kontrollsystem/interne Revision 352 Internes Überwachungssystem 286, 291 internes Untersuchungen 120, 125 Internetnutzung 103 Internetnutzung am Arbeitsplatz 118 Interpretation 22 Interpretationsrisiko 22 IP-Compliance 231 – Begriff 231 – Maßnahmen 240
H Haftung 205 Hard Controls 62 Hard law 287 Hausdurchsuchung 208, 222 366
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Stichwortverzeichnis
IP-Richtlinien 245 IT-basierte Kontrollen 58 IT-Compliance 147 IT-Lizenzmanagement 243 J Jeweils-Klauseln 88 juristischer Syllogismus 21
Legal-Compliance-Management-System 8 Legalitätspflicht 11 Leibesvisitation 122 leitende Angestellte 92 Lines of Defence 307 Lizenzmanagement 242 Lobbying 188 M
K Kapitalmarktorientierung 304 Kartellrecht 211 Kartellrechts-Compliance-Programme 213 Kernbereich 297 Klimapflege 187 Know-how 233 Know-how-Transfer 10 Konfliktregister 301 Kontroll- und Überwachungsverschulden 8 Kontrolle der Bewegung von Dienstfahrzeugen 122 Kontrollfunktion 305 Kontrollmaßnahmen 121 Kontrollpunkte 223 Konzeptionsprüfung 49, 138 Konzernrevision 299 Konzernvertretung 92 Kooperationen 236, 299 Korruption 171 Korruptionsprävention 190 Korruptionsstrafrecht 183 Kostensteuerung 293 Kreditoren-/Debitorenanalysen 80 Kriminalstrafen 253 Krisen-PR 185 Krisenmanagement 184 Kronzeugen 211 Kronzeugenregelung 185 Kündigung 129, 131 KYC-Prüfung 191 L Legal Opinions 27 Legal Risk Management 26
Managementletter 303 Mandatsanzahl 302 Marken 232 Markenrechte 241 Markenüberwachung 242 Marketing 237 Marketingfunktion 286 Markt 302 Marktbeobachtung 246 Marktfolgetätigkeiten 302 Marktmacht 220 Marktmanipulation 328 Massenbilanzanalysen 79 mehrstufige bzw gestreckte Sachverhalte 327 Melde- bzw Genehmigungspflichten 151 Meldepflichten 269 Menschenwürde 109, 111 Menschenwürde, Berührung der 96 Menschenwürde, Verletzung der 96 Mid Market 324 Mindeststandard 297 Missbrauch von Insiderinformationen 328 Mitarbeiterausbildung 11 Mitarbeiterstraftat 179 Modell der Risikoanalyse 22 Monitoring- und Kontrollfunktion 286 Monitoringmaßnahmen, personenbezogene Daten 159 N Nachschau 207 nachvertragliche Wettbewerbsverbote 247 Nachweisdokumente 279
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
367
Stichwortverzeichnis
Netzwerkanalysen 80 Netzwerksicht 66, 75 Nichtdiskriminierung 342 Nominierungsausschuss 304 Norm 22 Normentstehungsprozess 290 Notfallvorsorge 280 notwendige BV 93 Nulltoleranzpolitik 53 O öffentliche Auftraggeber 349 öffentliche Unternehmen 340 öffentliches Angebot 325 ÖNORMEN 279 objektive Wahrscheinlichkeiten 24 Objektivität 307 operationelles Risiko 294, 296 Opinion-Leader 38 Options – Termingeschäfte mit Barausgleich 333 – Termingeschäfte mit physischer Abwicklung 333 Ordnungsnormen 287 Ordnungsvorschrift, allgemein 100 Organisationseinheit 299, 304 Organisationsverschulden 8, 180 organisatorische Vorkehrungen 247 outcome bias 8 Outsourcing 9 P Patente 232 persönliche Weisungen 89 Persönlichkeitsrechte 109 Personalbeurteilungssystem 99 Personaldatensystem 97 personenbezogene Daten 148 Pflichten des AG 153 Plan-Do-Check-Act (PDCA)-Modell 64 Preisschwankungsanalyse 78 Primärdaten 150 Primärinsider 328 Prime Market 324 principles based approach 290 368
Prinzipien 300 Privatsphäre 88, 89 Process Mining 57, 67, 69, 79 produktbezogene Vorschriften 287, 288 Produktentwicklung 236 Proportionalitäts-/Verhältnismäßigkeitsgrundsatz 301 Prozesse 58 Prozesssicht 66, 72 Prüfpflichten 269 Prüfungsausschuss 299, 303 Prüfungsstandard IDW PS 980 32 Public Corporate Governance 344 Publizitätspflicht 326 Put-Optionen 334 Q qualifizierte Personalfragebögen 95 Qualitätssicherungs- und Innovationsfunktion 286 quasi-gesetzliche Bestimmungen 289 Quersubventionierungen 355 R Rechnungshofkontrolle 346 Recht auf Auskunft 153 Recht auf Richtigstellung bzw Löschung 153 Recht auf Widerspruch 153 Rechte der Betroffenen 153 rechtliche Unsicherheit 22 Rechtskonformität 268 Rechtsregister 269 Rechtsrisiko 294 Rechtsschutzbedürfnis 290 Rechtsverstöße 213 Recruiting 356 Reduktion rechtlicher Risiken 28 Referenzklassenproblem 24 Referenzvereinbarung 237 Regelpublizität 336 Regelungsdichte 284 Regelverstöße 48 Registrierung 236 Regulatory Watch 301
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Stichwortverzeichnis
Reputationsfunktion 286 Reputationsrisiko 294 Reputationsschäden 213 Reputationsverluste 294 Ressourcen 300 Revision 306 Risiko 22 – Bewertung 217 – Identification 217 Risiko-Landkarte 53 Risikoanalyse und -bewertung 46 Risikoarten 217 Risikoaudit 219 Risikoausschuss 303 risikobasierte Prüfung 83 risikobasierter Ansatz 305 Risikobewältigung 26 Risikobewertung 35 Risikodiagramme 26 Risikoereignis 22 Risikoidentifikation 35, 41 Risikomanagement 25, 217, 291, 296 Risikomanagement, Internes Kontrollsystem 354 Risikomanagementfunktion 306 Risikomanagementsystem (RM-System) 50, 291 Risikomatrix 26 Risikomessung 24 Risikoquelle 22 Risikosteuerung 36, 305 Risikotransfer 28 Risikovermeidung 27 rules based approach 290 Rundschreiben 299 S sachliche Weisungen 89 Safe Harbor Zertifizierung 152 Sanktionen 191, 204, 294 Sarbanes Oxley-Act 102, 117 Schadenersatz 240 Schadenersatzzahlungen 213
Schadensberechnungen 80 Schadensfalldatenbanken 24 Schadensmanagementleitfaden 64 schlichte Verwarnung 129 Schulung 47 Schulungen 86, 90, 105, 183, 222, 248 Schutzfunktion 286 schutzwürdige Geheimhaltungsinteressen 150 Security-Abteilung 59 Sekundärinsider 328 Selbstbindungsregeln 289 Selbstregulierung 179 sensible Daten 148 Settlements 213 Sicherheitsdatenblätter 280 Sicherstellung der Datenintegrität 159 Simulationen 10 Sitzstaatprinzip 149 Soft Controls 62 soft law 19, 289 Software Asset Management 243 Softwarelizenzen 243, 244 Sonderprüfungen 303 Sonderrechnungslegungsgesetz (SRLG) 343 Sparsamkeit, Wirtschaftlichkeit 342 Speichersystem 9 Sperrfrist 328 Sperrfristen 330 SRLG 346 ständige Vertraulichkeitsbereiche 330 Stammdatenanalysen 80 Stand-alone-Untersuchung 123 Standard Market Auction 324 Standard Market Continuous 324 Standard-Untersuchung 123 Standardanwendungen 112, 114, 128, 152, 153 Standards 12 State-of-the-Art Compliance-Organisation 304 Stellenbesetzungsgesetz 343, 347 Stellung im Unternehmen 306
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
369
Stichwortverzeichnis
strafrechtlich relevante Daten 152 subjektive (epistemische) Wahrscheinlichkeiten 25 Subsumtion 22 Swap-Geschäfte 333 Synergien 308 T Tax Compliance 195 Tax Compliance-Management-System 200 Telefonprotokollanalysen 80 Telefonüberwachung 121 Test Set-Ups 29 tone from the top 53, 214 Transfer von Risiken 28 Transparenz 342 Treuepflicht 89 Treuepflicht des AN 119 U überlassene Arbeitskräfte 92 Übermitteln von Daten 149 Übermittlung 98 Überwachung 305 – E-Mail, Internet 97 Überwachungsorgan 351 Umweltmanagementsysteme 268 Unabhängigkeit 307 unbemerktes Anschleichen 332 ungebührlicher Vorteil 187 ungeregelter Dritter Markt 324 Unsicherheit 22 Unterlassung 240 unternehmensinterene Untersuchungen 184 unternehmensinterne Regeln 190 Unternehmenskommunikation 248 Unternehmensprävention 291 Unternehmensrichtlinien 102 Unternehmenssteuerung 296 Unterweisungen 280 Untreue 171 Urheberrecht 233 370
V verantwortlicher Beauftragter 106, 261 Verantwortung – strafrechtliche 178 – Verbandsverantwortlichkeit 155 Verbandsgeldbuße 180, 181 Verbandstreffen 222 Verbandsverantwortlichkeitsgesetz 12, 172, 178 Verbot 87, 100 Verbot der E-Mail-Privatnutzung 131 Verbot der Geschenkannahme 104 Verbot der Vorteilsannahme 104 verbotene Intervention 188 Verfolgungsermessen 181 Vergaberecht 342 Vergütungsausschuss 304 Vergütungspolitik 304 Verhaltenskodex 13, 87, 183, 215 Verhaltensrichtlinien 245 Verletzung 109 Verpflichtungserklärungen 47 Verschwiegenheitsverpflichtungen 246 Versetzung 129, 130 Vertragsschablonentheorie 93 Vertrauensschadensversicherungen 11 Vertraulichkeitsbereiche 328, 330 Vertraulichkeitsvereinbarungen 246 verwaltungspolizeiliche Aufträge 253 Verwaltungsstrafen 253 Verwaltungsübertretungen 253 Verwarnung 129 Verwendung von personenbezogenen Daten 149 Videoüberwachung 111, 112, 114 Videoüberwachungsanlagen 97 Vier-Augen-Prinzip 191, 302, 351 Vorabkontrollverfahren 110, 152 Vorgaben 297 Vorstand 40
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
Stichwortverzeichnis
Vorteilsanahme 87, 100 Vorteilsannahme 87, 100 W Wahrscheinlichkeit 24 walk the talk 13 Wandelschuldverschreibungen 334 Website 238 Weisung 86, 89, 107 Werbung 234, 237 Wertpapierprospekt 325 Wettbewerbsbehörden 222 Whistleblowing 114, 184 Whistleblowing-Hotlines 44, 97, 114, 116, 224 wirksames Kontrollsystem 267 Wirksamkeitsprüfung 138 Wirksamkeitsüberprüfung 49
Wirtschafts- und Korruptionsstaatsanwaltschaft – siehe WKStA 171 Wirtschaftskriminalität 57 wirtschaftskriminelle Handlungen 58, 59 Wirtschaftsstrafrecht – Compliance 181 Z Zeitreihensicht 66, 77 Zentralbetriebsrat 92 Zugangskontrolle 156 Zugriffskontrolle 156 zulässige Datenverwendung 149 Zutrittskontrolle 156 Zutrittskontrollsysteme 122 Zweckmäßigkeit 342
Barbist/Ahammer/Fabian/Löffler, Compliance in der Unternehmenspraxis2, LexisNexis
Compliance in der Unternehmenspraxis_Auflage_2 Feinumbruch_05
371
Das vorliegende aktualisierte und überarbeitete Werk befasst sich mit unternehmensorganisatorischen Maßnahmen, die diesen Verstößen entgegenwirken und rechts- und regelkonformes Verhalten in den Unternehmen etablieren sollen. Aufgrund der Nähe des Themas zum Risikomanagement und dem Internen Kontrollsystem ist Compliance sinnvollerweise nur interdisziplinär, also in Kooperation zwischen Juristen und Betriebswirten darstellbar. Das vorliegende Werk nimmt diesen Gedanken auf. Neben grundsätzlichen Überlegungen zu rechtlichen Aspekten der Unternehmensführung, dem Aufbau eines Compliance-Management-Systems und dem Anti-FraudManagement werden spezifische Compliance-Strategien für die wesentlichen Rechtsbereiche in der Unternehmerpraxis dargestellt: Vom Strafrecht und Kartellrecht über IP-, IT-, Datenschutz- und Arbeitsrecht, Öffentliches Wirtschafts- und Umweltrecht sowie Steuerrecht bis hin zu den Sondermaterien Kapitalmarkt, Banking & Finance sowie Versicherungen.
Michael Ahammer
Tibor Fabian
Helge Löffler
Dr. Johannes Barbist, M.A. (Limerick) ist Rechtsanwalt und Partner bei BINDER GRÖSSWANG Rechtsanwälte Wien-Innsbruck. Als Leiter der Abteilung Öffentliches Wirtschaftsund Umweltrecht befasst er sich laufend mit Compliance-Fragen in seinen Schwerpunktgebieten. Mag. Michael Ahammer ist Wirtschaftsprüfer und Steuerberater sowie Partner der KPMGGruppe Österreich. Seine Tätigkeitsschwerpunkte sind die Prüfung von Jahres- und Konzernabschlüssen, Umgründungen, M&A, Internes Kontrollsystem und Risikomanagement, ebenso Handels-, Gesellschafts- und Unternehmenssteuerrecht. Dr. Tibor Fabian ist Rechtsanwalt und Partner bei BINDER GRÖSSWANG Rechtsanwälte Wien-Innsbruck. Seine Tätigkeitsschwerpunkte liegen im Bank-, Kapitalmarkt- und Immobilienrecht sowie in Strukturierten Finanzierungen und Derivaten. Dr. Helge Löffler ist Wirtschaftsprüfer und Steuerberater sowie Partner der KPMG-Gruppe Österreich. Seine Tätigkeitsschwerpunkte liegen in der Prüfung von Jahres- und Konzernabschlüssen, internen Kontroll- und Risikomanagementsystemen sowie in der Evaluierung im Sinne des Corporate Governance Kodex. ISBN 978-3-7007-6233-1
Barbist | Ahammer | Fabian | Löffler (Hrsg.)
Johannes Barbist
Compliance in der Unternehmenspraxis
Das Thema „Compliance“ ist mittlerweile in Österreich etabliert, gleichwohl kommt es nach wie vor zu massiven Verstößen gerade in den juristischen Hotspots (Kartell- und Strafrecht). Maßnahmen zur Gegensteuerung sind zwingend erforderlich.
2. Auflage
RECHTSPRAXIS Barbist | Ahammer | Fabian | Löffler (Hrsg.)
Compliance in der Unternehmenspraxis Mit zahlreichen Praxis-Tipps! Compliance-Management-Systeme Straf- & Kartellrecht Datenschutz- & Arbeitsrecht Umweltrecht IP- & IT-Recht Steuerrecht Spezifische Compliance für regulierte Unternehmen
2. Auflage