Compliance
News
Das neue Cybersicherheitsrecht - NIS2 und NIS2UmsuCG
Weitreichende Sanktionsmöglichkeiten gegen Unternehmen
Nicht erst der Ausfall von Computersystemen überall auf der Welt am 19. Juli 2024 („Crowdstrike“-Vorfall) hat verdeutlicht, dass ein einzelnes Cyberereignis in einer vernetzten Welt eine Kaskade an Auswirkungen nach sich ziehen kann. Um kritische Infrastrukturen vor derartigen Auswirkungen durch Cyberangriffe zu schützen, hatte die Europäische Union bereits 2016 die NIS1-Richtlinie erlassen. Doch gerade in Unternehmen sieht die Europäische Kommission noch großes Potenzial zur Verbesserung der Cyberresilienz. Dies nahm sie 2022 zum Anlass, dem bestehenden Cybersicherheitsrahmen sein erstes großes Update zu verpassen: Die NIS2-Richtlinie.
Neue EU-Vorgaben zur Verschärfung des Sanktionenrechts
Kontinuierliche Ausweitung der EU-Sanktionen
Seit Beginn des russischen Angriffskrieges auf die Ukraine zieht die Europäische Union ihr Sanktionsregime stetig nach. Gegenwärtig wird am mittlerweile 14. Sanktionspaket seit der Krigmannexion im Jahr 2014 gearbeitet, welches die bereits über 2.000 Posten auf den europäischen Sanktionslisten erweitern soll. Die Sanktionsmaßnahmen reichen von Transaktionsverboten hin zum Einfrieren von Vermögenswerten. Erfasst sind keineswegs nur Unternehmen aus Russland und anderen bekanntermaßen sanktionierten Ländern, sondern inzwischen auch zunehmend Unternehmen aus Drittstaaten, welche beispielsweise eine Umleitung des Handels mit sanktionierten Gütern mit Russland ermöglicht haben. Damit verhängt die EU erstmals in geringem Umfang Sekundärsanktionen, wie sie die USA bereits seit Jahrzehnten praktizieren.
KG Berlin: DSGVO-Geldbußen gegen Unternehmen setzen kein Leitungsversagen voraus
Auswirkungen der Grundsatzentscheidung des EUGH zu DSGVO-Geldbußen gegen Unternehmen auf Rechtsprechung und Praxis
1,2 Milliarden Euro Geldbuße gegen Meta (2023), 746 Millionen Euro gegen Amazon (2021), 90 Millionen gegen Google (2021). Die Ahndung von datenschutzrechtlichen Verstößen durch hohe Geldbußen ist schon lange keine Seltenheit mehr.
Der Ausgangsfall
Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte im Jahr 2019 einen Bußgeldbescheid über 14,5 Millionen Euro gegen die Deutsche Wohnen SE, weil diese personenbezogene Daten der Mieter:Innen zu spät gelöscht habe. Im Bußgeldbescheid bezeichnete die Behörde weder einen bestimmten Beschäftigten des Unternehmens, dem die Pflichtverletzung zur Last fallen soll, noch stellte sie eine mangelhafte Aufsicht durch die Unternehmensleitung fest. Die Deutsche Wohnen SE widersprach dem Bußgeldbescheid daher u.a., weil er den Gegenstand des Verfahrens in persönlicher Hinsicht nicht wie in § 66 OWiG vorgeschrieben aufführte.
Nach dem deutschem Ordnungswidrigkeitenrecht muss ein schuldhaftes Fehlverhalten einer konkret identifizierbaren Leitungs-, Aufsichts- oder sonst vertretungsberechtigten Person nachgewiesen werden, damit das Unternehmen nach § 30 OWiG für den Datenschutzverstoß haftet. Das Fehlverhalten kann gem. § 130 OWiG auch in der fahrlässigen Unterlassung von Aufsichts- und Organisationspflichten liegen.
Dieses Zurechnungsprinzip kennt das Europäische Recht nicht. Nach dem Wortlaut des Art. 83 DSGVO könnte das Unternehmen als datenschutzrechtlich Verantwortlicher sogar verschuldensunabhängig haften. Ein Nachweis von Vorsatz und Fahrlässigkeit würde sich danach nur auf die Bußgeldhöhe auswirken.
Erste LkSG-Ermittlungen gegen deutsche Unternehmen
Behördliche Anordnungen und Bußgelder durch das BAFA möglich
Seit zu Jahresbeginn das Lieferkettensorgfaltspflichtengesetz (LkSG) in Kraft getreten ist, gelten für Unternehmen mit mindestens 3.000 Arbeitnehmern im Inland umfangreiche Sorgfaltspflichten zum Schutz der Menschenrechte und der Umwelt im eigenen Geschäftsbereich wie auch in ihren globalen Lieferketten. Ab 01.01.2024 werden die Sorgfaltspflichten auch auf mittlere Unternehmen mit mindestens 1.000 Arbeitnehmern im Inland ausgeweitet. Verpflichtete Unternehmen sind gehalten menschenrechtliche und umweltbezogene Risiken in ihren Lieferketten regelmäßig und anlassbezogen zu analysieren und zu steuern, ein Beschwerdeverfahren einzurichten, diese Maßnahmen zu dokumentieren und darüber zu berichten. Werden Sorgfaltspflichten verletzt, drohen behördliche Maßnahmen sowie empfindliche Bußgelder bis hin zu 2 Prozent des durchschnittlichen Jahresumsatzes. Zuständige Behörde ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA).
In zwei aktuellen Fällen hat das BAFA nun demonstriert, dass es potenzielle Verstöße mit Nachdruck verfolgt. Zum einen gab die Behörde im Oktober 2023 bekannt, dass sie Ermittlungen gegen 58 deutsche Unternehmen wegen möglicher LkSG-Verstöße aufgenommen hat. Zum anderen prüft es derzeit Ermittlungen gegen deutsche Lebensmitteleinzelhändler aufgrund einer Beschwerde von Arbeitnehmern im Bananenanbau. Und auch im Falle der jüngst gegen BMW erhobenen Vorwürfe im Zusammenhang mit Kobalt-Abbau in Marokko dürften Ermittlungen des BAFA nicht lange auf sich warten lassen.
Lieferkettensorgfaltspflichtengesetz in Krankenhäusern
Auswirkungen des LkSG für Krankenhäuser und sonstige Gesundheitseinrichtungen
Am 1. Januar 2023 ist das Lieferkettensorgfaltspflichtengesetz (LkSG) in Kraft getreten. Das Gesetz verpflichtet Unternehmen, für die Einhaltung von Menschenrechten in globalen Lieferketten Sorge zu tragen, was beispielsweise den Schutz vor Kinderarbeit oder bestimmte Umweltbelange umfasst.
Entwurf eines 2. Sanktionsdurchsetzungsgesetzes (SDG II) veröffentlicht
Vollziehung des EU-Sanktionsrechts soll weiter gestärkt werden
Am 26. Oktober 2022 hat die Bundesregierung den Entwurf eines 2. Sanktionsdurchsetzungsgesetzes (SDG II) vorgelegt, das auf das im Mai 2022 in Kraft getretene SDG I folgt und daran anknüpfend die Durchsetzung von EU-Sanktionen weiter effektivieren soll.
Nachdem mit dem SDG I neue behördliche Befugnisse im Bereich der Ermittlung und Sicherstellung von Vermögenswerten sanktionierter Personen und Personengesellschaften geschaffen wurden, ist das SDG II insbesondere auf strukturelle Verbesserungen bei der Vollziehung dieser Befugnisse gerichtet.
Das Hinweisgeberschutzgesetz kommt auf die Zielgerade
Nachdem das Bundesministerium der Justiz im April dieses Jahres einen Referentenentwurf für ein Hinweisgeberschutzgesetz (HinSchG) veröffentlicht hatte (s. hierzu), konnten nun Verbände und andere Interessenvertreter zu dem Gesetzesentwurf Stellung beziehen. Nachdem über 50 Stellungnahmen eingegangen waren, hat das Bundeskabinett nunmehr einen Regierungsentwurf mit nur wenigen Änderungen beschlossen.
Compliance im Rettungsdienst
Gesetzesnovelle in Bayern – gute Idee bundesweit
Wer Rettungsdienste fahren will, braucht ein Compliance-Management-System (CMS). So will es die Bayerische Staatsregierung, deren Novelle des Rettungsdienstgesetzes gerade im Gesetzgebungsverfahren ist. Ab Januar 2025 würde das gelten, und nur in Bayern. Doch: Wer sich erinnert, wie überrascht er im Mai 2018 war, als – trotz zweijähriger Übergangsfrist – ganz plötzlich die DSGVO vor der Tür stand, könnte dieses Mal früher aufstehen wollen und nicht verschlafen. Und: Wer ein CMS nicht nur als „show and shine“ begreift oder als lästige Pflicht, sondern als nachhaltiges Werkzeug für Patientensicherheit, für die Einhaltung von Werten und zur Verhinderung von Zeit- und Kostenfressern, dem kann egal sein, wann und wo eine Pflicht gilt – dann ist Compliance immer und überall eine gute Idee. Zahlreiche (kleine und große) Rettungsdienste (und mittlere auch) haben ein CMS, bereits jetzt. Und wer es richtig anpackt, der hat nicht nur eins, der nutzt es auch.
Compliance-Untersuchungen hemmen nicht die zweiwöchige Kündigungsfrist
Wegsehen setzt die Frist in Gang
Die fristlose Kündigung aus wichtigem Grund muss gem. § 626 Abs.2 BGB innerhalb von zwei Wochen erfolgen, nachdem der Kündigungsberechtigte von den für die Kündigung maßgebenden Tatsachen Kenntnis erlangt. Das Landesarbeitsgericht Baden-Württemberg legt mit Urteil vom 3. November 2021 strenge Maßstäbe an die Einhaltung der Kündigungserklärungsfrist im Rahmen von internen Untersuchungen an.
Kein Hinweisgeberschutz ohne Datenschutz
Ohne Datenschutzkonzept werden Hinweisgebersysteme selbst zum Rechtsrisiko
Nicht erst seit dem Erlass der EU-Richtlinie zum Whistleblowerschutz (RL 2019/1937) ist die Einrichtung eines Hinweisgebersystems wichtiger Baustein einer funktionierenden Unternehmens-Compliance. Zur Realisierung eines Hinweisgebersystems gilt allerdings, eine Vielzahl rechtlicher Erfordernisse zu beachten. Dass auch das Datenschutzrecht bei der Einrichtung eines Hinweisgebersystems nicht ausgeblendet werden darf, hat die italienische Datenschutzbehörde nun mit der Verhängung einer Geldbuße gegen den Flughafen Bologna veranschaulicht.