Compliance

Am 26. Oktober 2022 hat die Bundesregierung den Entwurf eines 2. Sanktionsdurchsetzungsgesetzes (SDG II) vorgelegt, das auf das im Mai 2022 in Kraft getretene SDG I folgt und daran anknüpfend die Durchsetzung von EU-Sanktionen weiter effektivieren soll.

Nachdem mit dem SDG I neue behördliche Befugnisse im Bereich der Ermittlung und Sicherstellung von Vermögenswerten sanktionierter Personen und Personengesellschaften geschaffen wurden, ist das SDG II insbesondere auf strukturelle Verbesserungen bei der Vollziehung dieser Befugnisse gerichtet.

Weiterlesen ...

Wer Rettungsdienste fahren will, braucht ein Compliance-Management-System (CMS). So will es die Bayerische Staatsregierung, deren Novelle des Rettungsdienstgesetzes gerade im Gesetzgebungsverfahren ist. Ab Januar 2025 würde das gelten, und nur in Bayern. Doch: Wer sich erinnert, wie überrascht er im Mai 2018 war, als – trotz zweijähriger Übergangsfrist – ganz plötzlich die DSGVO vor der Tür stand, könnte dieses Mal früher aufstehen wollen und nicht verschlafen. Und: Wer ein CMS nicht nur als „show and shine“ begreift oder als lästige Pflicht, sondern als nachhaltiges Werkzeug für Patientensicherheit, für die Einhaltung von Werten und zur Verhinderung von Zeit- und Kostenfressern, dem kann egal sein, wann und wo eine Pflicht gilt – dann ist Compliance immer und überall eine gute Idee. Zahlreiche (kleine und große) Rettungsdienste (und mittlere auch) haben ein CMS, bereits jetzt. Und wer es richtig anpackt, der hat nicht nur eins, der nutzt es auch.

Der Plan in Bayern

Anlass, das Bayerische Rettungsdienstgesetz (BayRDG) zu ändern, ist eigentlich ein anderer: Der Europäische Gerichtshof entschied 2019, dass es bei der Vergabe von Rettungsdienstleistungen u. U. möglich ist, von der Durchführung eines europaweiten Vergabeverfahrens abzusehen (sog. Bereichsausnahme). Das BayRDG ließ und lässt eine solche Ausnahme bisher nicht zu; es soll deshalb novelliert werden. Bei dieser Gelegenheit nun hat die Exekutive weitere Änderungen vorgeschlagen, von der Einführung des Telenotarztes in Bayern über die Errichtung eines Notfallregisters, die Anpassung fachlicher Qualifikationsanforderungen bei der Fahrzeugbesetzung und die Neuregelungen im arztbegleiteten Patiententransport bis hin zur Einführung eines Verlegungsrettungswagens. Ein Aspekt, der im Rahmen der Bereichsausnahme, also des ersten Punktes, neu geregelt werden soll, segelt dabei ein wenig unter dem Radar: die verpflichtende Einführung eines CMS, eines Compliance-Management-Systems.

So soll in Art. 13 Abs. 3 BayRDG ein Satz 5 eingefügt werden, wonach die Vergabe rettungsdienstlicher Leistungen mit der Einhaltung allgemein anerkannter Compliance-Standards verknüpft werden soll. Wortwörtlich heißt es in dem Gesetzentwurf, der Durchführende habe im Rahmen des Auswahlverfahrens ein „Konzept zur Einhaltung zeitgemäßer Standards für Maßnahmen, Strukturen und Prozesse zur Sicherstellung von Regelkonformität (Compliance-Management-System) vorzulegen.“ Heißt: kein CMS, kein Rettungsdienst.

CMS – was das?

Der Begriff des Compliance-Management-Systems ist nicht gesetzlich definiert. Anerkannt ist, dass geschäftsführende Gesellschaftsorgane im Rahmen ihrer Leitungsverantwortung die Einhaltung von Gesetzen in ihrem Wirkbereich sicherstellen müssen – und eben durch ein CMS wird eine Organisation zur Einhaltung und laufenden Überprüfung der Verpflichtung zur Regelkonformität verpflichtet. Es enthält Mechanismen zur Einhaltung von Gesetzen, Mindeststandards zum Umgang der Mitarbeiter untereinander sowie im Verhältnis zu Dritten, kann ethische Leitlinien sowie Regelungen zur Prävention von Diskriminierung und Korruption inkludieren.

Um eine Vergleichbarkeit und betriebswirtschaftliche Gewähr zu bieten, wurden in den letzten Jahren unterschiedliche Standards zum Aufbau von CMS entwickelt. Als verbreitetste Standards haben sich der Prüfstandard 980 des Instituts der Wirtschaftsprüfer (IDW PS 980) und der zertifizierungsfähige ISO 37301 (früher ISO 19600) durchgesetzt.

Zwar enthält der Gesetzestextentwurf für das BayRDG keine explizite Anforderung, dass das vorzuweisende CMS einem dieser Standards entsprechen müsste, doch die Gesetzesbegründung stellt zumindest auf die Einhaltung allgemein anerkannter Compliance-Standards ab. Und anhand einschlägiger Gesetzesvorhaben der Vergangenheit lässt sich ein Erwartungshorizont zeichnen: So war in dem letztlich nicht verabschiedeten Entwurf eines Verbandssanktionengesetzes (VerSanG) ebenfalls keine starre Zertifizierung erforderlich, um eine Sanktionsmilderung durch ein implementiertes CMS zu erreichen. Gleichzeitig bildet aber das letztes Jahr verabschiedete Lieferkettensorgfaltspflichtengesetz die von IDW PS 980 und ISO 37301 vorausgesetzten Grundelemente eines CMS in einer spezifischen auf Menschenrechts-Compliance zugeschnittenen Ausgestaltung ab.

Daraus lässt sich die Erwartung ableiten, dass die geläufigen CMS-Standards jedenfalls nach ihrem Inhalt als Indikator für die Geeignetheit und Zeitgemäßheit eines CMS taugen. Zwar ist es nicht zwingend, den zeit- und kostenintensiven Zertifizierungs- und Prüfprozess zu durchlaufen. Es sollte aber die Implementierung der wesentlichen Vorgaben doch nachgewiesen werden können.

Wie ein solches CMS aussieht

Wer auf diese Frage eine Standardantwort gibt, läuft Gefahr, auch interessierten Rettungsdiensten nur Standard anzubieten. Damit ein CMS aber nicht nur hübsch im Archiv vergilbt, sondern es tatsächlich gelebt wird und zugleich die alltägliche Arbeit nicht hindert, sind individuelle Lösungen klug.

Diese individuellen Lösungen orientieren sich freilich an Grundprinzipien, ohne die ein CMS nicht sinnvoll implementiert werden kann.

Compliance-Kultur: Compliance muss in einer Organisation (vor-) gelebt werden. Als Grundlage sollte sich die Organisation darauf besinnen, welche Werte durch die Organisation und ihr CMS verwirklicht werden sollen. Besonders wichtig ist ein authentisches Bekenntnis der Führungsspitze zu Integrität und ausnahmsloser Regeleinhaltung, das in der Führung des Unternehmens praktisch zum Ausdruck kommt.

Compliance-Ziele: Die mit dem CMS verfolgten Ziele sind aus den Werten und Zielen sowie der Art und dem Umfeld der Tätigkeit abzuleiten. Die Zielbestimmung gewährleistet eine bedarfsgerechte, individuelle Ausgestaltung des CMS.

Compliance-Risiken: Eines der Kernstücke eines CMS ist die Compliance-Risikoerfassung. In diesem Prozess werden Compliance-Risiken unter Berücksichtigung der Compliance-Ziele systematisch, wiederkehrend und anlassbezogen festgestellt. Erkannte Risiken werden im Hinblick auf ihre Eintrittswahrscheinlichkeit und potentielle Auswirkungen bewertet und gesteuert.

Compliance-Programm: Als Compliance-Programm sind alle Grundsätze und Maßnahmen zu verstehen, die auf die Vermeidung von Compliance-Verstößen gerichtet sind. Diese werden in der Regel in themenbezogenen Richtlinien festgehalten.

Compliance-Organisation: Die Compliance-Organisation umfasst die Festlegung übergreifender Zuständigkeiten und Abläufe für die Gewährleistung von Compliance (bspw. Vorfall-Management, Schulungsplan, Funktionsbeschreibungen).

Compliance-Kommunikation und -Information: Durch die Compliance-Kommunikation wird sichergestellt, dass Unternehmensangehörige über die Zuständigkeiten und Abläufe des CMS und die zugrundeliegenden Werte und Bekenntnisse informiert sind. Insbesondere werden den jeweiligen Adressaten die notwendigen Kenntnisse vermittelt, um die ihnen obliegenden Pflichten und Aufgaben zu verstehen und sachgerecht erfüllen zu können. Auf Deutsch: Ohne Kommunikation ist alles Mist.

Compliance-Überwachung und -Verbesserung: Compliance ist keine einmalige Aufgabe, sondern ein laufender Prozess. Kontrollen und Evaluationen verhelfen dem CMS zu fortlaufender Wirksamkeit und Aktualität.

Wozu das Ganze?

Sollte die Novelle des BayRDG das Gesetzgebungsverfahren in diesem Punkt unverändert überstehen, gälte die Pflicht für ein CMS ab 1. Januar 2025 („um den Durchführenden ausreichend Zeit zu geben, mit der notwendigen Sorgfalt ein Compliance Management System zu entwickeln und zu implementieren“, so die Gesetzesbegründung). Wer in Bayern Rettungsdienste anbieten will, kann die Frage nach dem Warum deshalb schnell beantworten: weil er muss.

Wer mehr wissen will: Die Gesetzesbegründung benennt als Ziel dieser Regelung, hierdurch werde „der in staatlicher Verantwortung stehende Leistungsbereich Rettungsdienst, in welchem mit hohen Leistungssummen der Sozialversicherungsträger bei den Durchführenden des Rettungsdienstes umgegangen wird, angemessen abgesichert.“ Die Staatsregierung Bayerns hat mithin eher fiskalische Zwecke im Blick: Abrechnungsbetrug soll verhindert werden, Geldverschwendung Einhalt geboten, Untreue verunmöglicht.

Das ist richtig – und doch nicht alles.

Hygiene, Medikamentenmanagement, Medikamentensicherheit, die Sicherstellung der Behandlungsstandards sind noch die klarsten Themen, die ohnehin jeder regelt. Doch was tun bei Betäubungsmittelfunden bei Patienten? Wie umgehen mit Patientenverfügungen? Wie reagiert man richtig bei einer Verweigerung des Transportes? Was muss dokumentiert werden? Wie ist das mit der Schweigepflicht, hinsichtlich Eltern, hinsichtlich Strafverfolgungsbehörden? Wenn die Polizei nach einem Patienten fragt, was dann? Korruptionsprävention: Von der Auftragsvergabe über Zulieferer und Spender ist alles dabei. Und dann kommen noch solch abseitige Themen wie die Fuhrpark-Compliance, die Technik-Compliance, der Umgang mit Strafverfolgungsbehörden generell, Datenschutz.

Nicht jedes dieser Themen muss man in größtmöglicher Detailtiefe angehen, doch unwesentlich ist nichts davon. Nicht nur in Bayern gilt deshalb: Wer vorsorgt, hat seltener das Nachsehen.

Die fristlose Kündigung aus wichtigem Grund muss gem. § 626 Abs.2 BGB innerhalb von zwei Wochen erfolgen, nachdem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. Das Landesarbeitsgericht Baden-Württemberg legt mit Urteil vom 3. November 2021 strenge Maßstäbe an die Einhaltung der Kündigungserklärungsfrist im Rahmen von internen Untersuchungen an.

Weiterlesen ...

Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 29. April 2021 (Az. 8 AZR 276/20) erstmals die Voraussetzungen konkretisiert, unter denen ein Arbeitgeber die für die Durchführung einer unternehmensinternen Untersuchung entstandenen Anwaltskosten vom betroffenen Arbeitnehmer ersetzt verlangen kann. Die Entscheidung hat Auswirkungen auf die Praxis von Compliance-Untersuchungen.

Weiterlesen ...

Wie zuletzt angekündigt hat das Bundeskabinett nun den Regierungsentwurf für das Lieferkettengesetz, genauer das „Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten“, verabschiedet und veröffentlicht. Wir geben Ihnen einen Überblick, warum sich auch nicht unmittelbar verpflichtete, kleinere und mittlere Unternehmen auf das Gesetz einstellen müssen und wie die Pflichten zur Analyse und Steuerung von sozialen und ökologischen Risiken in der Lieferkette für deutsche Unternehmen im Einzelnen zu erfüllen sind.

Weiterlesen ...

Das Lieferkettengesetz kommt: Deutsche Unternehmen werden verpflichtet Menschenrechtsrisiken in ihren Lieferketten zu analysieren, daraus abgeleitete Sorgfalts- und Berichtspflichten einzuhalten und Beschwerdemechanismen einzurichten. Sonst drohen Bußgelder.

Weiterlesen ...

Das Bundeskriminalamt hat zusätzlich zum jährlich erscheinenden Bundeslagebild Cybercrime am 30. September 2020 eine Sonderauswertung "Cybercrime in Zeiten der Corona-Pandemie" veröffentlicht.

Weiterlesen ...

Der Druck unter dem Mietendeckel steigt: Ab 23. November 2020 drohen Ordnungswidrigkeiten wegen überhöhter Mieten auch bei Altverträgen, wenn also ein Vermieter die Miete nicht auf das verringerte gesetzlich zulässige Maß absenkt und deshalb eine unzulässige Miete fordert oder entgegennimmt.

Weiterlesen ...

Personenbezogene Daten dürfen nach der DSGVO nur in Drittländer übermittelt werden, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Um das Schutzniveau nachzuweisen, werden die Transferinstrumente aus den Art. 45 ff. DSGVO herangezogen. Ein solches Transferinstrument stellt der Beschluss 2016/1250 der EU-Kommission über das Privacy Shield dar, der festlegt, dass in den USA ein angemessenes Schutzniveau besteht.

Weiterlesen ...

Das Erschleichen von Zahlungsanweisungen durch Vorspiegelung der Identität von Leitungspersonen in Unternehmen (sog. CEO-Fraud) birgt das Risiko empfindlicher Vermögensschäden. Die Täter haben sich in den letzten Jahren zunehmend professionalisiert und nehmen verstärkt kleine und mittlere Unternehmen ins Visier. Unternehmen können das Risiko mit einem Strauß an Maßnahmen minimieren.

Was ist CEO-Fraud?

Der Begriff des CEO-Frauds bezeichnet ein Betrugsschema, bei dem unter Vorspiegelung der Identität des Geschäftsführers oder einer anderen Leitungsperson eine Anweisung zur Tätigung einer Zahlung an einen ahnungslosen Mitarbeiter ausgegeben wird. Die Vorgehensweise wurde in den letzten Jahren von spezialisierten Akteuren zunehmend professionalisiert, sodass ihr nach wie vor ein enormes Schädigungsrisiko für Unternehmen innewohnt.

Wie funktioniert CEO-Fraud?

Am Anfang des CEO-Frauds steht die Beschaffung von Informationen. Diese speist sich aus allgemein zugänglichen Quellen, aber auch aus Anrufen unter falschen Vorwänden und zuweilen auch aus Hackerangriffen. Die Informationen werden vornehmlich über die vorzuspiegelnde Person, die zu kontaktierende Person und die Firmenstrukturen gesammelt.

Anhand der gesammelten Informationen fertigen die Betrüger gefälschte E-Mails an. Die verwendeten E-Mail-Adressen weichen in der Regel nur sehr geringfügig von der der imitierten Person ab. Im schlechtesten Fall haben sich die Täter kurzfristig Zugang zum tatsächlichen E-Mail-Account verschafft.

Inhaltlich wird in den E-Mails in der Regel ein persönlicher Kontakt oder besondere Umstände vorgeschoben, die besondere Vertraulichkeit erfordern. Zur Untermauerung wird die Einschaltung von Rechtsanwälten vorgetäuscht und durch entsprechende Anrufe untermauert.

Flankierend wird auf den Mitarbeiter sowohl Druck ausgeübt als auch gleichzeitig seine Performance und Vertrauensseligkeit gelobt, um ihm zu schmeicheln. Auf diesem Wege wird der Mitarbeiter verleitet, kurzfristig und gegebenenfalls entgegen der geltenden Regeln zu handeln.

Hat das Betrugsschema Erfolg, werden die durch die Täuschung erschlichenen Gelder in der Regel durch ein vorbereitetes Netz von Konten in Länder geleitet, in denen eine Verfolgung, geschweige denn ein Zugriff auf die Gelder, aufgrund rechtlicher wie faktischer Gegebenheiten aussichtslos ist.

Kann mein Unternehmen Opfer von CEO-Fraud werden?

Aufgrund des Digitalisierungsvorsprungs von US-Firmen waren diese die ersten Opfer von CEO-Fraud-Attacken. Das Betrugsschema machte dort mit einem verursachten Schaden von 1,77 Mrd. US-Dollar im Jahr 2019 immer noch die Hälfte des durch Cybercrime entstandenen Gesamtschadens aus. Seit einigen Jahren ist das Phänomen in Europa restlos angekommen.

Hier passt sich das Betrugsphänomen den fortlaufenden Entwicklungen an. Während in früheren Phasen der Methode vor allem große Unternehmen und Konzerne Gegenstand von CEO-Fraud waren, sind diese mittlerweile sensibilisiert und verfügen schon aufgrund ihrer allgemeinen Relevanz über ausgeklügelte Compliance-Management-Systeme. Deshalb geraten nunmehr vornehmlich kleinere und mittlere Unternehmen ins Visier der Betrüger, die beim Thema Compliance oftmals Nachholbedarf haben.

Reicht der in meinem Unternehmen installierte Phishing-Schutz nicht aus, um es gegen CEO-Fraud zu schützen?

Neben der Auswahl ihrer Zielgruppe haben die hinter dem CEO-Fraud stehenden Kriminellen auch ihre Vorgehensweise verfeinert. Leicht zu identifizierende Standardtexte, die auch im Bereich des allgemeinen Phishings zum Einsatz kommen, werden zwar nach wie vor verwendet, gleichzeitig haben hochspezialisierte Akteure ihr Handwerk gezielter Angriffe perfektioniert. Sie leisten aufwendige Vorarbeiten, um die vorzuspiegelnde Identität, potentielle Ansprechpartner und Organisationsstrukturen des Zielunternehmens zu ermitteln und zu analysieren. Im Folgenden bringen die Täter sogenanntes Social Engineering zum Einsatz, bei dem etwa der sprachliche Duktus des Anweisenden haargenau imitiert wird, um die Glaubwürdigkeit zu steigern.

Was kann mein Unternehmen tun, um sich gegen CEO-Fraud zu schützen?

Entlang der Einzelschritte des Betrugsschemas sind entsprechende Vorkehrungen zu treffen:

Zunächst ist zu prüfen, welche internen Informationen über das eigene Unternehmen aus allgemein zugänglichen Quellen verfügbar sind, und dann kritisch zu evaluieren, ob die Veröffentlichung erforderlich ist oder ob diese ohne Gefährdung des Geschäftszwecks angepasst werden kann. Die ohnehin datenschutzrelevante Entsorgung von Dokumenten sollte unter diesem Gesichtspunkt gleichfalls auf den Prüfstand gestellt werden.

Von größter Wichtigkeit ist es, potentiell betroffene Mitarbeiter zu ermutigen, bei Zweifelsfällen zu reagieren. Die Führungskräfte, deren Identität potentiell imitiert werden könnte, sollten in einem persönlichen Kontakt klarstellen und bekräftigen, dass eine prüfende Nachfrage im Zweifelsfall keinesfalls als Autoritätszweifel oder Kleinigkeit aufgefasst werden wird und eine solche vielmehr ermutigen. Die Mitarbeiter sind indes darin zu schulen, verdächtige Anrufe zu erkennen, um diese im Zweifelsfall melden zu können und um folgend auf eine erhöhte Sensibilität in der Mitarbeiterschaft hinwirken zu können. Etwa erfolgen typischerweise Anrufe an den Empfang, in denen vorgegeben wird, dass eine beabsichtigte Zahlung an das Unternehmen zurückgewiesen worden und deshalb ein unmittelbarer Kontakt zu der Buchhaltung erforderlich sei.

Technische Maßnahmen zur Verhinderung von Phishing sowie Antiviren- und Firewall-Programme stehen in vielfältigen Ausführungen zur Verfügung und sollten verwendet und regelmäßig aktualisiert werden. Die Gewährleistung der Passwortsicherheit ist von größter Wichtigkeit, welche der Belegschaft entsprechend zu kommunizieren ist.

Ergänzend kann auf technischer Seite Sorge getragen werden, dass alle Internetdomains, die der Unternehmensdomain auch nur ähneln, durch das Unternehmen gesichert und gehalten werden. 

Die beschriebene Verfeinerung der Methoden der Betrüger kann jedoch nicht mehr durch rein technische Vorkehrungen aufgefangen werden. Diese können die Fraud-Compliance allenfalls erleichtern.

Geschäftspartner sollten darauf hingewiesen werden, dass bei der Bezahlung von Rechnungen gegebenenfalls eine Zweifaktorenauthentifizierung durchgeführt wird. Diese kann etwa durch einen Anruf bei einer hinterlegten Nummer oder eine Nachricht an eine separate Stelle bei dem Geschäftspartner erfolgen.

Welches Verhalten ist geboten, wenn es zu einem CEO-Fraud kommt?

Auch bei Berücksichtigung aller vorstehenden Maßnahmen kann der Erfolg eines CEO-Frauds nie mit Sicherheit ausgeschlossen werden. Der endgültige Abfluss des Geldes kann dann allenfalls durch eine möglichst schnelle und straffe Reaktion verhindert werden. Zu diesem Zweck ist ein Maßnahmenplan vorzuhalten und im Unternehmen bekannt zu machen. In dem Maßnahmenplan sind die weiteren Schritte im Einzelnen festzulegen und die damit verbundenen Verantwortlichkeiten zuzuweisen.

Gerne implementieren wir mit Ihnen und Ihrem Unternehmen gemeinsam eine spezifische CEO-Fraud-Compliance in Ihrem Compliance-Portfolio. Kleine Schritte können helfen, große Verluste zu verhindern.