08.2020 - Compliance

Auswirkungen des EuGH-Urteils „Schrems II“ vom 16.07.2020 zum Privacy Shield

Personenbezogene Daten dürfen nach der DSGVO nur in Drittländer übermittelt werden, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Um das Schutzniveau nachzuweisen, werden die Transferinstrumente aus den Art. 45 ff. DSGVO herangezogen. Ein solches Transferinstrument stellt der Beschluss 2016/1250 der EU-Kommission über das Privacy Shield dar, der festlegt, dass in den USA ein angemessenes Schutzniveau besteht.

07.2020 - Compliance

CEO-Fraud-Compliance

Vermögensschäden verhindern - das Compliance-Portfolio stärken

Das Erschleichen von Zahlungsanweisungen durch Vorspiegelung der Identität von Leitungspersonen in Unternehmen (sog. CEO-Fraud) birgt das Risiko empfindlicher Vermögensschäden. Die Täter haben sich in den letzten Jahren zunehmend professionalisiert und nehmen verstärkt kleine und mittlere Unternehmen ins Visier. Unternehmen können das Risiko mit einem Strauß an Maßnahmen minimieren.

Was ist CEO-Fraud?

Der Begriff des CEO-Frauds bezeichnet ein Betrugsschema, bei dem unter Vorspiegelung der Identität des Geschäftsführers oder einer anderen Leitungsperson eine Anweisung zur Tätigung einer Zahlung an einen ahnungslosen Mitarbeiter ausgegeben wird. Die Vorgehensweise wurde in den letzten Jahren von spezialisierten Akteuren zunehmend professionalisiert, sodass ihr nach wie vor ein enormes Schädigungsrisiko für Unternehmen innewohnt.

Wie funktioniert CEO-Fraud?

Am Anfang des CEO-Frauds steht die Beschaffung von Informationen. Diese speist sich aus allgemein zugänglichen Quellen, aber auch aus Anrufen unter falschen Vorwänden und zuweilen auch aus Hackerangriffen. Die Informationen werden vornehmlich über die vorzuspiegelnde Person, die zu kontaktierende Person und die Firmenstrukturen gesammelt.

Anhand der gesammelten Informationen fertigen die Betrüger gefälschte E-Mails an. Die verwendeten E-Mail-Adressen weichen in der Regel nur sehr geringfügig von der der imitierten Person ab. Im schlechtesten Fall haben sich die Täter kurzfristig Zugang zum tatsächlichen E-Mail-Account verschafft.

Inhaltlich wird in den E-Mails in der Regel ein persönlicher Kontakt oder besondere Umstände vorgeschoben, die besondere Vertraulichkeit erfordern. Zur Untermauerung wird die Einschaltung von Rechtsanwälten vorgetäuscht und durch entsprechende Anrufe untermauert.

Flankierend wird auf den Mitarbeiter sowohl Druck ausgeübt als auch gleichzeitig seine Performance und Vertrauensseligkeit gelobt, um ihm zu schmeicheln. Auf diesem Wege wird der Mitarbeiter verleitet, kurzfristig und gegebenenfalls entgegen der geltenden Regeln zu handeln.

Hat das Betrugsschema Erfolg, werden die durch die Täuschung erschlichenen Gelder in der Regel durch ein vorbereitetes Netz von Konten in Länder geleitet, in denen eine Verfolgung, geschweige denn ein Zugriff auf die Gelder, aufgrund rechtlicher wie faktischer Gegebenheiten aussichtslos ist.

Kann mein Unternehmen Opfer von CEO-Fraud werden?

Aufgrund des Digitalisierungsvorsprungs von US-Firmen waren diese die ersten Opfer von CEO-Fraud-Attacken. Das Betrugsschema machte dort mit einem verursachten Schaden von 1,77 Mrd. US-Dollar im Jahr 2019 immer noch die Hälfte des durch Cybercrime entstandenen Gesamtschadens aus. Seit einigen Jahren ist das Phänomen in Europa restlos angekommen.

Hier passt sich das Betrugsphänomen den fortlaufenden Entwicklungen an. Während in früheren Phasen der Methode vor allem große Unternehmen und Konzerne Gegenstand von CEO-Fraud waren, sind diese mittlerweile sensibilisiert und verfügen schon aufgrund ihrer allgemeinen Relevanz über ausgeklügelte Compliance-Management-Systeme. Deshalb geraten nunmehr vornehmlich kleinere und mittlere Unternehmen ins Visier der Betrüger, die beim Thema Compliance oftmals Nachholbedarf haben.

Reicht der in meinem Unternehmen installierte Phishing-Schutz nicht aus, um es gegen CEO-Fraud zu schützen?

Neben der Auswahl ihrer Zielgruppe haben die hinter dem CEO-Fraud stehenden Kriminellen auch ihre Vorgehensweise verfeinert. Leicht zu identifizierende Standardtexte, die auch im Bereich des allgemeinen Phishings zum Einsatz kommen, werden zwar nach wie vor verwendet, gleichzeitig haben hochspezialisierte Akteure ihr Handwerk gezielter Angriffe perfektioniert. Sie leisten aufwendige Vorarbeiten, um die vorzuspiegelnde Identität, potentielle Ansprechpartner und Organisationsstrukturen des Zielunternehmens zu ermitteln und zu analysieren. Im Folgenden bringen die Täter sogenanntes Social Engineering zum Einsatz, bei dem etwa der sprachliche Duktus des Anweisenden haargenau imitiert wird, um die Glaubwürdigkeit zu steigern.

Was kann mein Unternehmen tun, um sich gegen CEO-Fraud zu schützen?

Entlang der Einzelschritte des Betrugsschemas sind entsprechende Vorkehrungen zu treffen:

Zunächst ist zu prüfen, welche internen Informationen über das eigene Unternehmen aus allgemein zugänglichen Quellen verfügbar sind, und dann kritisch zu evaluieren, ob die Veröffentlichung erforderlich ist oder ob diese ohne Gefährdung des Geschäftszwecks angepasst werden kann. Die ohnehin datenschutzrelevante Entsorgung von Dokumenten sollte unter diesem Gesichtspunkt gleichfalls auf den Prüfstand gestellt werden.

Von größter Wichtigkeit ist es, potentiell betroffene Mitarbeiter zu ermutigen, bei Zweifelsfällen zu reagieren. Die Führungskräfte, deren Identität potentiell imitiert werden könnte, sollten in einem persönlichen Kontakt klarstellen und bekräftigen, dass eine prüfende Nachfrage im Zweifelsfall keinesfalls als Autoritätszweifel oder Kleinigkeit aufgefasst werden wird und eine solche vielmehr ermutigen. Die Mitarbeiter sind indes darin zu schulen, verdächtige Anrufe zu erkennen, um diese im Zweifelsfall melden zu können und um folgend auf eine erhöhte Sensibilität in der Mitarbeiterschaft hinwirken zu können. Etwa erfolgen typischerweise Anrufe an den Empfang, in denen vorgegeben wird, dass eine beabsichtigte Zahlung an das Unternehmen zurückgewiesen worden und deshalb ein unmittelbarer Kontakt zu der Buchhaltung erforderlich sei.

Technische Maßnahmen zur Verhinderung von Phishing sowie Antiviren- und Firewall-Programme stehen in vielfältigen Ausführungen zur Verfügung und sollten verwendet und regelmäßig aktualisiert werden. Die Gewährleistung der Passwortsicherheit ist von größter Wichtigkeit, welche der Belegschaft entsprechend zu kommunizieren ist.

Ergänzend kann auf technischer Seite Sorge getragen werden, dass alle Internetdomains, die der Unternehmensdomain auch nur ähneln, durch das Unternehmen gesichert und gehalten werden. 

Die beschriebene Verfeinerung der Methoden der Betrüger kann jedoch nicht mehr durch rein technische Vorkehrungen aufgefangen werden. Diese können die Fraud-Compliance allenfalls erleichtern.

Geschäftspartner sollten darauf hingewiesen werden, dass bei der Bezahlung von Rechnungen gegebenenfalls eine Zweifaktorenauthentifizierung durchgeführt wird. Diese kann etwa durch einen Anruf bei einer hinterlegten Nummer oder eine Nachricht an eine separate Stelle bei dem Geschäftspartner erfolgen.

Welches Verhalten ist geboten, wenn es zu einem CEO-Fraud kommt?

Auch bei Berücksichtigung aller vorstehenden Maßnahmen kann der Erfolg eines CEO-Frauds nie mit Sicherheit ausgeschlossen werden. Der endgültige Abfluss des Geldes kann dann allenfalls durch eine möglichst schnelle und straffe Reaktion verhindert werden. Zu diesem Zweck ist ein Maßnahmenplan vorzuhalten und im Unternehmen bekannt zu machen. In dem Maßnahmenplan sind die weiteren Schritte im Einzelnen festzulegen und die damit verbundenen Verantwortlichkeiten zuzuweisen.

Gerne implementieren wir mit Ihnen und Ihrem Unternehmen gemeinsam eine spezifische CEO-Fraud-Compliance in Ihrem Compliance-Portfolio. Kleine Schritte können helfen, große Verluste zu verhindern.

06.2020 - Compliance

Compliance unter dem Verbandssanktionengesetz

Sinnvolle Nutzung der Übergangsfrist

Das kommende Verbandssanktionengesetz fördert Compliance-Maßnahmen in Unternehmen, indem diese auf Tatbestands-, Rechtsfolgen- als auch auf Verfahrensseite berücksichtigt werden. Unternehmen sind gut beraten, die zweijährige Übergangsfrist zur Vorbereitung darauf zu nutzen.

Ein weiterer Schritt hin zur Gesetzeskraft

Für erhebliches Aufsehen sorgte im August 2019 bereits das Durchsickern eines Referentenentwurfs aus dem BMJV für ein „Gesetz zur Bekämpfung der Unternehmenskriminalität“ an die Öffentlichkeit. Nun macht die Realisierung der entsprechenden Koalitionsvereinbarung zwischen den Fraktionen von CDU/CSU und SPD einen weiteren Schritt in Richtung Gesetzeskraft. Denn im April 2020 veröffentlichte das BMJV den aktuellen Referentenentwurf – nunmehr unter dem Namen „Gesetz zur Stärkung der Integrität in der Wirtschaft“. Der Entwurf ist inzwischen auch mit den anderen Ministerien abgestimmt. Aktuell haben betroffene Verbände und die juristischen Fachkreise Gelegenheit, bis zum 12. Juni 2020 Stellung zu dem Entwurf zu nehmen.

Kernstück des Gesetzes ist und bleibt das Verbandssanktionengesetz (VerSanG). Die wesentlichen Punkte sind bekannt: Die Ausdehnung des Legalitätsprinzips für Ermittlungen, ein erhöhter Sanktionsrahmen von bis zu 10 % des durchschnittlichen jährlichen (Konzern‑)Umsatzes und die positivrechtliche Erfassung und Berücksichtigung von Internen Untersuchungen und Compliance-Maßnahmen im Fall von Rechtsverstößen aus dem Unternehmen heraus.

Aber was bedeutet „Erfassung und Berücksichtigung von Compliance-Maßnahmen“ eigentlich konkret und was können Unternehmen heute schon daraus ableiten?

Tatbestandliche Anknüpfung an Compliance

Eine Verbandssanktion kann gemäß § 3 Abs. 1 VerSanG‑E auf eine verbandsbezogene Straftat (Verbandstat) einer Leitungsperson folgen, aber auch daraus, dass ein Rechtsverstoß in Wahrnehmung der Angelegenheiten des Verbandes begangen wurde und dies durch angemessene Vorkehrungen hätte verhindert oder wesentlich erschwert werden können.

Letzteres findet sich als ähnliche Regelung bereits heute im Ordnungswidrigkeitenrecht in § 130 OWiG. Im Unterschied ist etwa der Begriff der „angemessenen Vorkehrungen“ des VerSangG-E weiter als der in § 130 OWiG verwendete Begriff der „Aufsicht“.

Prozessuale Berücksichtigung von Compliance

Überdies steht es im Gegensatz zum Ordnungswidrigkeitenrecht bei Verbandstaten nicht im Ermessen der Behörde, ob sie bei Vorliegen eines Anfangsverdachtes ermittelt. Durch die Verankerung des Legalitätsgrundsatzes im VerSanG-E wird jeder Anfangsverdacht verfolgt werden müssen und damit auch die Compliance-Systeme der Unternehmen stärker in den Fokus geraten.

Compliance auf Rechtsfolgenseite

Compliance-Maßnahmen finden auch im weiteren Verfahrensverlauf entscheidende Berücksichtigung. Sie können ausdrücklich wesentlicher Beweggrund sein, von der Verfolgung wegen Geringfügigkeit oder gegen Auflagen und Weisungen von der Verfolgung abzusehen, vgl. §§ 35 f. VerSanG-E.

Ein solides Compliance-Management-System (CMS) kann letztlich ausschlaggebend sein, ob das Unternehmen auch im Falle eines erwiesenen Rechtsverstoßes noch „mit einem blauen Auge“ in Form einer Verwarnung mit Verbandsgeldsanktionsvorbehalt davonkommt. Dafür wird es entscheidend darauf ankommen, ob aufgrund der Einrichtung eines funktionalen CMS zu erwarten ist, dass die Verwarnung ausreicht, um weitere Verbandstaten in Zukunft zu vermeiden. Ein CMS kann ausweislich der Begründung des VerSanG-E im Rahmen einer Gesamtwürdigung als besonderer Umstand gewertet werden, der die Verhängung einer Verbandsgeldsanktion entbehrlich macht.

Kommt es gleichwohl zu einer Verhängung einer Verbandssanktion, sind der Bestand und die Funktionalität eines CMS sowie dessen Adaption infolge eines Rechtsverstoßes im Unternehmen sanktionsmildernd zu berücksichtigen.

Was ist aus Unternehmenssicht zu tun?

Der Blick auf den Gesetzesentwurf verstärkt die bereits heute gültige Erkenntnis: Compliance lohnt sich!

Die Vorteile eines funktionalen CMS liegen nicht nur in der Vermeidung von Haftung, Sanktionen und Reputationsschäden. Seine Einrichtung lässt sich zugleich zur Optimierung von operativen Prozessen und Organisationsstrukturen nutzen. Ein gewisses Maß an Corporate Governance wird zudem immer häufiger zur Voraussetzung für die Anbahnung geschäftlicher Kontakte gemacht und rückt weiter in den Fokus der Bereiche Marketing und Kommunikation. Der Gesetzgeber unterstützt den Trend der letzten Jahre zu mehr Compliance mit dem VerSanG-E. Es darf erwartet werden, dass Compliance-Maßnahmen auch in Zukunft weiter gesetzgeberisch flankiert und insbesondere honoriert werden.

In der Entwurfsbegründung wird ausdrücklich anerkannt, dass die Anforderungen an ein Compliance-Programm von Art, Größe, Organisation und dem Geschäftsfeld eines Unternehmens abhängen. Kein CMS ist daher gleich. Es bedarf vielmehr einer Einrichtung anhand von Erfahrungswerten. Gleichzeitig soll das CMS nicht Stolperstein im Betriebsablauf sein oder ein unproduktives Klima des Misstrauens säen.

Die Übergangsfrist ist zu nutzen

Das Gesetz zur Stärkung der Integrität in der Wirtschaft tritt erst zwei Jahre ab seiner Verkündung in Kraft. Diese Frist soll den Unternehmen Gelegenheit geben, ein neues CMS einzuführen oder ein bestehendes zu modernisieren. Zwei Jahre erscheinen lang - ein effektives CMS lässt sich jedoch nicht über Nacht aus dem Boden stampfen. Zunächst ist eine Bestandsaufnahme der bestehenden Compliance-Maßnahmen des Unternehmens und seines Geschäftsumfeldes vorzunehmen, um eine an den Unternehmenszielen und –werten orientierte Compliance zu ermöglichen. Es sind risikoorientierte Richtlinien zu erarbeiten, Organisationsstrukturen einzurichten, Verantwortlichkeiten zuzuordnen und einschlägiges Wissen zu vermitteln. Dass zwei Jahre hierfür knapp bemessen sein können, hat zuletzt die DSGVO vielen Unternehmen vor Augen geführt. Ein funktionales Compliance-Management-System sollte nicht aufgeschoben werden, zumal Unternehmen von Anfang an von seiner Einrichtung in vielfältiger Weise profitieren.

Notiert von Frank/ Breuer
06/2020

08.2019 - Compliance

OLG Hamm zu Kündigung wegen Compliance-Verstoß

OLG Hamm erkennt gravierenden Compliance-Verstoß eines Geschäftsführers als Kündigungsgrund an, der keine Abmahnung voraussetzt

In zweiter Instanz hat das OLG Hamm in seinem Urteil vom 19. Mai 2019 (Az. 8 U 146/18) die fristlose Kündigung eines Geschäftsführers aus wichtigem Grund aufgrund eines gravierenden Compliance-Verstoßes für rechtmäßig anerkannt. Das Erfordernis einer vorherigen Abmahnung bestehe bei der Kündigung eines Geschäftsführers aus wichtigem Grund nicht.

05.2018 - Compliance

Gesetzentwurf des BMJV zum Schutz von Geschäftsgeheimnissen

Schwächen beim Whistleblowerschutz

Das Bundesjustizministerium hat den Entwurf eines Gesetzes zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung veröffentlicht. Damit soll eine europäische Richtlinie umgesetzt werden. Die Frist dafür läuft allerdings bereits am 9. Juni 2018 ab.

04.2018 - Compliance

Globale Bedeutung von Compliance

G-20 wollen Compliance-Strukturen stärken

Dass Korruption kein nationales Problem ist, haben auch die G-20-Staaten erkannt – seit vielen Jahren steht daher auch hier der Kampf gegen Korruption auf der Tagesordnung. In Hamburg beim Gipfeltreffen im Juli 2017 haben sich die Staats- und Regierungschefs mit konkreten möglichen Maßnahmen befasst.

03.2018 - Compliance

Unternehmen erkennen die Bedeutung von Compliance, an der Umsetzung hapert es aber oft

Mehr und mehr Unternehmen erkennen die Bedeutung eines effektiven Compliance Managements. Das geht aus der aktuellen Berufsfeldstudie hervor, die die Quadriga Hochschule Berlin und der Bundesverband der Compliance Manager im Dezember veröffentlicht haben.

Die Untersuchung „Führung und Organisation der Compliance “ wurde im August und September 2017 als Online-Befragung durchgeführt, insgesamt haben 586 Compliance-Manager, überwiegend aus Deutschland, aber auch aus Österreich und der Schweiz, teilgenommen.

02.2018 - Compliance

Hinweisgeberschutz: Auch anonyme Hinweise können in den Schutzbereich der Meinungsfreiheit fallen

Entscheidung des BAG aus dem Jahr 2003 ist überholt

Die Entscheidung des BAG: Anonyme Teilnahme an der geistigen Auseinandersetzung ist nicht möglich

Das BAG hat im Jahr 2003 (BAG 2 AZR 235/02 vom 03.07.2003; NJW 2004, 1547) im Fall einer anonym erstatteten Strafanzeige entschieden, dass anonyme Äußerungen nicht dem Grundrecht der Meinungsfreiheit unterfallen; denn: "Ohne deutlich erkennbare Zuordnung der Äußerung ist eine Teilnahme an der geistigen Auseinandersetzung nicht möglich." Die Entscheidung muss heute als überholt angesehen werden.

02.2018 - Compliance

Zur Beschlagnahmefreiheit bei Compliance-Anwälten und Vertrauensanwälten

Schweizer Bundesstrafgericht: Sachverhaltsaufklärung zur rechtlichen Bewertung ist geschützte anwaltliche Tätigkeit

Die Abgrenzung zwischen Anwaltstätigkeit und reiner Compliancetätigkeit ist nicht immer einfach zu treffen, hat aber weitreichende Folgen: Die Anwaltstätigkeit profitiert vom Beschlagnahmeschutz; geht es lediglich um die Durchführung oder Überprüfung konkreter Compliance-Aufgaben können die Strafverfolgungsbehörden zugreifen.

12.2017 - Compliance

EU erwägt Ausweitung der Einsichtsrechte von Strafverfolgungsbehörden in Kontenregister

Öffentliche Konsultation gestartet

Die EU-Kommission hat eine Konsultation veröffentlicht, mit der sie Meinungen zu einem breiteren Zugang zu zentralen Bank- und Zahlungskontenregistern für Strafverfolgungsbehörden einholen will. Die Befragung richtet sich an Einzelpersonen, Behörden, internationale und regionale Organisationen, Strafverfolgungsbehörden, Finanzunternehmen, Verbraucherverbände und zivilgesellschaftlichen Organisationen.

Helfen Sie uns unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Mit einem Klick auf "OK" akzeptieren Sie Analyse- und Marketing-Cookies. Mit einem Klick auf "Ablehnen" werden nur Cookies gesetzt, die essenziell für die Bereitstellung der Webseite sind. Mehr Informationen zur Cookie-Nutzung erhalten Sie mit einem Klick auf "Datenschutzhinweise".