Häufig gestellte Fragen
schnell beantwortet
Hier versuchen wir häufig gestellte Fragen gemeinsam mit führerenden Expert:innen verständlich zu beantworten.
Sie haben unbeantwortete Fragen? Gerne stehen wir für einen Austausch zur Verfügung.
Antwort: die richtige Richtung!
Ziel der neuen Lieferkettensorgfaltsverpflichtungen (insbesondere des LKSPG) ist es, Verletzungen der Menschenrechte und Verstöße gegen den Schutz der Umwelt entlang der Lieferketten zu verhindern. Diese Pflichten treffen sowohl “Global Player” als auch KMUs. Es ist daher keine Frage mehr “ob”, sondern “wie” und “wann” betroffene Unternehmen die Anforderungen rechtskonform umsetzen.
Legal Counsel / Local Compliance Officer
TGW Logistics Group GmbH
Das bloße Unterlassen der Einrichtung eines CMS ist in der Regel nicht strafbar. Passiert aber ein Regelverstoß deshalb, weil nicht für die enstprechende Kontrolle gesorgt wurde, kann die Geschäftsleitung persönlich für Fahrlässigkeitsdelikte nach dem StGB und das Unternehmen sogar nach VbVG für Vorsatzdaten der Mitarbeiter:innen haften.
Rechtsanwalt & Partner
Haslinger / Nagele Rechtsanwälte GmbH
Viele Datenschutzprozesse lassen sich mit Softwarelösungen transparent und effizient abwickeln. Automatisierungen vereinfachen dabei die Erfüllung von Compliance Anforderungen.
Setze lieber auf Legal Technology und sei kein Compliance Outlaw!
Denn Abmahnungen kassieren, zahlt sich einfach nicht aus.
CEO & Chief Legal Officer
DataReporter GmbH
Bereit für Ihr digitales Compliance-Management-System?
Finden Sie Ihr digitales Compliance Office in einer Minute!
Begriffe
und Bedeutungen
Für alle, die sich noch nicht so gut auskennen, haben wir die wichtigsten Begriffe kurz erklärt. Weitere Begriffe erklären wir Ihnen gerne im persönlichen Kontakt – einfach nachfragen.
Compliance wird oft als „to comply with“ verstanden und kann mit „das Erfüllen von“ übersetzt werden.
Tatsächlich ist das zu kurz gefasst, denn unter Compliance versteht man alle Maßnahmen im Unternehmen, die zur Erfüllung von Gesetzen, (internen) Richtlinien und sonstiger – auch wertebasierter – Vorgaben erforderlich und umgesetzt sind.
Compliance vereint präventive Maßnahmen (z. B. Schulungen), das Erkennen von Fehlverhalten und Risiken (z. B. Betrieb eines Hinweisgebersystems) sowie die hieraus resultierenden Reaktionen (z. B. Maßnahmen zur Beendigung von Fehlverhalten, Sanktionen, etc.).
Gemäß Whistleblowing-Richtlinie versteht man unter Whistleblower:innen „eine natürliche Person, die im Zusammenhang mit ihren Arbeitstätigkeiten erlangte Informationen über Verstöße meldet oder offenlegt.“
Die Richtlinie umfasst u. a. Praktikant:innen, Bewerber:innen, Arbeitnehmer:innen, Aufsichtsräte, Lieferant:innen, etc.
Das Institut der Wirtschaftsprüfer in Deutschland hat in seinem (wichtigen) Standard IDW PS 980 eine passende Definition gefunden.
Unter einem CMS versteht man „sämtliche auf der Grundlage der definierten Unternehmensziele eingeführten Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und Mitarbeiter sowie ggf. von Dritten abzielen.“
(Zitat aus IDW PS 980, Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen)
Bei privaten Unternehmen ist eine Anzeige grundsätzlich nicht verpflichtend.
Der Hinweis ist aber unabhängig vom Anwendungsbereich des HinweisgeberInnenschutzgesetzes (HSchG) aufzuklären, ansonsten drohen Haftungsrisiken. Im Bedarfsfall ist eine interne Untersuchung unter Beziehung von (externen) Spezialist:innen einzuleiten.
Rechtsanwalt
es.law COMPLIANCE & DEFENSE
Ja, soweit es um betriebliche Themen geht. Richten sich die Vorwürfe gegen Mitarbeiter:innen, müssen die belastenden Beweise offengelegt werden. Mitunter steht die arbeitsrechtliche Auskunftspflicht in einem Spannungsverhältnis zur strafrechtlichen Aussageverweigerung, insbesondere wenn das Protokoll in einem Strafverfahren verwertet werden soll.
Im Einzelfall kann es sinnvoll sein, Mitarbeiter:innen darauf hinzuweisen, dass sie sich nicht selbst belasten müssen.
Rechtsanwalt
Die Aufgabe von Compliance ist die Sicherstellung des Wohlverhaltens und der Einhaltung von Vorschriften. Compliance-Verantwortliche müssen viel Überzeugungsarbeit leisten.
Dafür ist es notwendig, in Beziehung mit Menschen zu treten. Empathie ist ein wichtiger Schlüssel dabei; sie schafft Vertrauen und hilft Brücken zu bauen.
Juristin und Expertin für Datenschutz, Regulierung und Compliance
Aus Compliance-Umfragen und Whistleblowing-Meldungen zeigt sich deutlich: Diskriminierung ist das Non-Compliance-Thema No. 1.
Sie passiert täglich mit vielen verschiedenen Facetten. Aus ethischen und gesetzlichen Überlegungen haben Unternehmen strukturierte Maßnahmen gegen Diskriminierung zu setzen.
Geschäftsführerin & Gründerin
rosa elefant OG
Eine externe Betreuung interner Meldekanäle ermöglicht eine effiziente Planung von Ressourcen sowie eine professionelle Bearbeitung von Meldungen. Dadurch wird die Unternehmenskultur gefördert.
Meldende vertrauen auf Unabhängigkeit. Dafür sorgt die externe Betreuung – sympathisch, rechtssicher, effizient und smart!
Geschäftsführerin
VMCON OG
Jeder weiß: Regelmäßiges Zähneputzen ist wichtig für gesunde Zähne. Awareness? Meine Kinder und ich haben hierfür ein Bild mit einer großen Zahnbürste gebastelt. Man siehe: Es klappt mit dem regelmäßigen Zähneputzen. Warum? Klare Handlungsanweisung, konsequente Implementierung und regelmäßige Kontrolle – that’s how Compliance works.
Rechtsanwalt und Partner
Edthaler Leitner-Bommer Schmieder & Partner
Rechtsanwälte GmbH / LeitnerLaw
Ob Orchester, Schulklasse oder Fußballmannschaft – Inspiration, Mut, Orientierung und Sicherheit kommen nur durch gute Vorbilder. In Unternehmen ist das nicht anders und daher ist der oft zitierte Tone from the Top unerlässlich. Gelebte und gute Compliance braucht exzellente Vorbilder!
Geschäftsführer & Gründer
rosa elefant OG
Compliance bedeutet, dass Geschäftsführer:innen u. a. gemäß §22 GmbHG für ein internes Kontrollsystem zu sorgen haben, das Normenverstöße verhindert. Für dessen Implementierung haften sie laut Gesetz sowohl nach innen als auch u. U. gegenüber Dritten.
Rechtsanwalt & Partner
Summereder Pichler Wächter
Rechtsanwälte GmbH
Organisationen sind zahlreichen rechtlichen Risiken ausgesetzt, z. B. Korruption, Kartellrecht, Datenschutz, etc. Ein wirksames CMS hilft, konkrete Risiken zu erkennen und zu reduzieren.
Das erhöht die Zufriedenheit der Mitarbeiter:innen und sichert nachhaltig den Bestand des Unternehmens.
Rechtsanwalt & Managing Partner
Baker McKenzie in Wien
Ein funktionierendes CMS erfüllt drei Kernfunktionen.
In erster Linie dient es dazu Regelverstöße zu verhindern (Prävention), und falls diese dennoch erfolgen, sie zu identifizieren (Erkennen) und darauf zu reagieren (Reagieren).
Dabei sind eine sorgfältige Sachverhaltsaufklärung und das Ergreifen geeigneter sowie angemessener Maßnahmen essentiell.
Legal Counsel
EVVA Sicherheitstechnologie GmbH
Nein.
Compliance-Officer:innen haben im besten Fall ein interdisziplinäres Profil. Sie sind Marketing, Recht, Personalentwicklung , Audit, Organisationsentwicklung, Strategie, etc.
Der Erfolg von Compliance liegt nicht in der Profession ihrer Mitglieder:innen , sondern in deren Fähigkeiten, ihre Stärken für Prävention, Erkennen und Reagieren einzusetzen.
Leitung Recht und Prokuristin der TANNPAPIER GmbH
Ja!
Seit 1.1.2006 können auch juristische Personen strafrechtlich zur Verantwortung gezogen werden (VbVG). Durch Compliance- Strukturen können diese aber sowohl ihre zivil- als auch strafrechtlichen Risiken minimieren.
Juristin
Im Gegenteil, die DSGVO bietet Mechanismen, die uns ein effizienteres, zielgerichtetes und erfolgreiches Arbeiten erlauben.
Es gilt wie im Privaten: Aufräumen ist aufwendig ohne unnötigen Ballast und mit neuer, übersichtlicher Ordnung lebt es sich aber wesentlich besser!”
Unternehmensjuristin & zertifizierte Datenschutzbeauftragte
TGW Logistics Group GmbH
Es gibt Stimmen, dass bei Umsetzung der gesetzlichen Verpflichtungen u. U. keine Mitbestimmung notwendig ist.
Wird der Anwendungsbereich aber erweitert, liegt ein mitbestimmungspflichtiges System vor. Diese Rechtsunsicherheit ist durch die gesetzliche Umsetzung noch zu beheben – im Zweifel empfiehlt sich daher die Einbindung des Betriebsrats.
Rechtsanwältin & Autorin
Edthaler Leitner-Bommer Schmieder & Partner Rechtsanwälte GmbH / leitnerlaw
Die Einbindung von Lieferant:innen in den Whistleblowing-Prozess bringt die Lieferkette mitsamt deren Stakeholder:innen näher ans eigene Unternehmen.
Ein Hinweisgebersystem ist somit ein essenzieller Baustein aktueller (sowie in Zukunft vorgeschriebener) Nachhaltigkeitsentwicklungen und damit einhergehender Sorgfalftspflichten.
Certified Compliance Professional | Certified Information Security Manager & Auditor (ISO 27001) | Directorbei LeitnerLeitner
Bei Gestaltung umwelt- und sozialbezogener Werbeanzeigen können die Grenzen unlauteren Wettbewerbs schnell überschritten werden der Grat zwischen “Gutes tun und darüber sprechen” hin zum Greenwashing ist schmal.
Eine sorgfältige Vorabprüfung im Unternehmen ist unerlässlich. Leider erschwert das Fehlen einer einheitlichen Definition von “Greenwashing” die Prüfung.
von Baker McKenzie Austria
Falsch!
Mit dem HinweisgeberInnenschutzgesetz sollen Missstände gefahrlos aufgezeigt werden können.
Rechtskonformität im Unternehmen und ein gutes Arbeitsklima ergeben in Summe (auch) gelebte Corporate Social Responsibility. Dadurch: Zufriedene Mitarbeiter:innen, Kund:innen und Lieferant:innen, was mehr Erfolg bedeutet – menschlich sowie wirtschaftlich.
Geschäftsführerin VMCON OG / meineBerater
Sanktionierte Eigentümer werden oft durch komplexe Firmenstrukturen verschleiert und rechtliche Anforderungen aus Sekundärsanktionen, z. B. OFAC 50 % Rule, sind nur unzureichend bekannt.
Es ist nun wichtiger denn je, die Shareholder Struktur der „Third Parties “ zu kennen und diese auf aktuelle Sanktionsrisiken zu prüfen
Senior Solution Sales Advisor & Certified Compliance Officer
Dun & Bradstreet Austria GmbH
Die Kunst liegt darin, komplexe Themen praxisnah und verständlich zu vermitteln. So schaffen wir es, Datenschutz und Compliance in den Köpfen unserer Kolleg:innen zu verankern.
In den besten Fällen schlagen wir die Brücke zum bewährten Hausverstand. LegalDesign ist dabei ein unschätzbar wertvoller Verbündeter.
Senior Legal Counsel & Group Privacy Officer
TGW Logistics Group GmbH
Compliance macht vor keiner Unternehmensgröße halt. Gerade Unternehmen, die sich am Markt etablieren wollen, können sich keine Verstöße leisten. Nicht nur der finanzielle Schaden kann das Unternehmen – vor dem eigentlichen Durchbruch – ruinieren, sondern auch die Reputation kann unwiederbringlich geschädigt sein.
Corporate Lawyer
MYFLEXBOX Austria GmbH
Nur mit Standards und Normen lässt sich ein einheitlicher Maßstab für die Effektivität von Compliance-Maßnahmen feststellen. Natürlich gibt es entsprechende Normen und Standards, die die Gestaltung und Aufrechterhaltung von effektiven CMS (Compliance Management Systemen) zum Inhalt haben und beim Aufbau, der Implementierung, dem Betrieb und der Weiterentwicklung behilflich sind.
Der Fokus sollte hier auf der ISO 19600:2014 12 15 (Compliance Management System), der ISO 37001:2016 10 15 (Anti-Bribery Management System), der ON-Regel 192050:2013 02 01 (Compliance Management Systeme – Anforderungen und Anleitung zur Anwendung), dem FCPA Guide (Forreign Corruption Practices Act), dem OECD-Leitfaden und dem UK Bribery Act 2010-Guidance, als bekannteste Normen, liegen.
Selbstverständlich ist diese Aufzählung nicht vollständig, sondern darf lediglich als „Grundlage“ verstanden werden.
Ja, seit 01.02.2023 gibt es in Österreich das „HinweisgeberInnenschutzgesetz“.
Unternehmen sind hierdurch verpflichtet, interne Hinweisgebersysteme und Compliance-Strukturen einzurichten. So bedeuten die Whistleblower-Richtlinie und das HinweisgeberInnenschutzgesetz zwar scheinbar mehr Aufwand im Bereich Compliance, führen aber in weiterer Folge in jedem Fall zu mehr Regelkonformität (und somit zu einer Reduzierung von potenziellen Risiken, Nachteilen und sonstigen Schäden für die Unternehmen).
Unabhängig von der hieraus resultierenden gesetzlichen Verpflichtung wird die Implementierung von Compliance-Maßnahmen dringend empfohlen und oftmals auch vorausgesetzt (insbesondere im internationalen Rechtsverkehr).
Diesbezüglich gibt es z. B. im Deutschen Corporate Governance Kodex, in der Fassung vom 07.02.2017 (dessen Anforderungen durchaus auch für Österreich Anwendung finden) die konkrete Empfehlung zur entsprechenden Ausgestaltung: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützte Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“
(siehe Punkt 4.1.3 in Deutscher Corporate Governance Kodex, 2017, 6)
Seit dem HinweisgeberInnenschutzgesetz gibt es zumindest für alle Unternehmen mit mehr als 50 Mitarbeiter:innen eine ausformulierte Verpflichtung zur Implementierung effektiver Compliance-Strukturen bzw. einer entsprechenden Compliance-Organisation (zumindest eingeschränkt auf ein effizientes Whistleblowing Management System).
Tatsächlich bedurfte es bislang auch keiner expliziten Ausformulierung derartiger Vorgaben, um Compliance als Teil der Verpflichtung eines Geschäftsführers zu erkennen. Entsprechende Verpflichtungen lassen sich bereits jetzt schon aus bestehenden Bestimmungen ableiten (zB § 22 GmbHG, § 25 GmbHG; § 82 AktG, § 84 AktG). Diese Gesetzesbestimmungen weisen die Unternehmensführungen an, dass sie in der Ausübung ihrer Geschäftsleitungstätigkeit „die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“ und „interne Kontrollsysteme“ zu implementieren haben.
Der OGH hat hierzu bereits erkannt, dass der Aufbau einer adäquaten Organisation verpflichtend ist (siehe OGH, 3 Ob 34/97i).
Basierend auf bereits erwähnte Normen und Standards erkennen wir als fobi solutions GmbH folgende wesentliche Grundlagen einer effektiven und somit wirksamen Compliance:
Ein wirksames und effektives Compliance-System liegt nach unserem Verständnis dann vor, wenn die drei Säulen Vorbeugen, Erkennen und Reagieren berücksichtigt, implementiert, mit „Leben gefüllt“ und angewendet werden.
Hierbei ist es erforderlich, dass die Organisationen ihre Risiken identifizieren und die relevanten gesetzlichen Vorschriften kennen. Präventive Maßnahmen („Vorbeugen“) umfassen insbesondere – jedoch nicht abschließend – die Erstellung unternehmensinterner Richtlinien, Compliance-Schulungen, Kommunikationsaktivitäten im Zusammenhang mit Compliance etc.
Die Einführung von Kontrollmechanismen, Hinweisgebersystem, Risk-Assessments, Revisionen etc. führen zu einem raschen Erkennen von Risiken und helfen, die Unternehmenskultur in Bezug auf „Compliance“ nachhaltig zu verbessern.
Festgestellte Verstöße bzw. erkanntes Risiko sind zu sanktionieren bzw. ist hierauf mit Maßnahmen zu reagieren. Jedes regelwidrige Verhalten bzw. jedes festgestellte Risiko müssen zu einer Maßnahme führen, ansonsten das Vertrauen der Menschen in die Wirksamkeit einer Compliance-Organisation schwindet oder überhaupt verloren geht.
Viele Unternehmen setzen bei der Umsetzung der gegenständlichen Verpflichtungen auf „Altbewährtes“ und vermeinen, der Schutz von Hinweisgeber:innen sowie die Erfüllung entsprechender Prozesse kann durch E-Mail, Briefkasten, open-door – als Meldemöglichkeiten – gewährleistet werden. Diesem Irrglauben wird durch § 9 HinweisgeberInnenschutzgesetz in Österreich ein Riegel vorgeschoben.
In dieser Bestimmung werden Unternehmen verpflichtet, alle Hinweise zu dokumentieren und zugleich die erforderlichen Fristen zu erfüllen. In § 9 Abs. 6 sieht das Gesetz ausdrücklich vor: „Interne und externe Stellen haben die Aufzeichnungen gemäß Abs. 1 bis 5 in einem vertraulichen und sicheren System zu speichern und den Zugang zu diesem System zu protokollieren und so zu beschränken, dass die darin gespeicherten Daten nur den Mitarbeiterinnen und Mitarbeitern zugänglich sind, die den Zugriff auf die Daten zur Bearbeitung des Hinweises benötigen.“
Die rechtsrichtige Umsetzung der rechtlichen Verpflichtungen erscheint sohin ausschließlich durch ein digitales Hinweisgebersystem erfüllt.
Die Frage, ob Meldekanäle in Zukunft auch öffentlich – d. h. über die eigenen Websites – zugänglich gemacht werden sollen und/oder müssen, scheint in Bezug auf die Definition der Whistleblower:in (aus unserer Sicht) beantwortet. Zudem steht mit den (kommenden) gesetzlichen Lieferkettensorgfaltsverpflichtungen das Erfordernis der Zurverfügungstellung eines Meldekanals für Lieferant:innen in den Startlöchern.
Das Thema „Compliance“ und damit einhergehende gesetzliche Verpflichtungen beschäftigt uns daher auch zukünftig.
Wer steckt hinter .LOUPE?
Die Köpfe hinter
.LOUPE und fobi solutions.
Fragen
rund um .LOUPE
Wenn es um Compliance geht, sollte man sich auch gegenseitig vertrauen. Daher ist es wichtig, zu wissen, wer hinter .LOUPE steckt und wie .LOUPE vorgeht.
Gerne können Sie uns Ihre Fragen persönlich oder schriftlich jederzeit stellen.
.LOUPE wird in ISO 27001-zertifizierten Rechenzentren in Deutschland betrieben.
Die technische Zurverfügungstellung ist innerhalb eines Tages möglich. Je nach Grad der individuellen Ausgestaltung (zB Corporate Identity) erhöht sich der Aufwand.
.LOUPE ist einfach und schnell einsatzbereit. Hierzu bieten wir standardisiertes Informationsmaterial für Mitarbeiter:innen, einen entsprechenden Investigations-Leitfaden, Standardkategorien, etc.
.LOUPE besteht nicht nur aus einem einfachen, sicheren und rechtskonformen Hinweisgebersystem, sondern unterstützt auch innovativ bei der Risikoidentifizierung, Risikominimierung, Kommunikation, Kontrolle und den Konsequenzen bei Fehlverhalten.
Mit .LOUPE schließen Sie gleich mehrere Sicherheits- und Risikolücken. Aber da es unterschiedlich große Unternehmen mit jeweils differenzierten Ansprüchen in Bezug auf Compliance gibt, bieten wir Ihnen gerne bedarfsorientierte, maßgeschneiderte Pakete an.
Mehr Infos zu unseren Paketen finden Sie hier.