EU-Datenschutz-Grundverordnung
In Sachen Compliance zeigt die neue Europäische Datenschutz-Grundverordnung neue Anforderungen. Es besteht zum Beispiel die Möglichkeit, über Zertifizierungen einen Nachweis zu erbringen, dass Kontrollen und Audits durchgeführt werden. Dadurch könnte die Zusammenarbeit, beispielsweise bei der Auftragsdatenverar-beitung, erleichtert werden.
Eine weitere Neuerung bei der 2018 eintreten-den Europäischen Datenschutz-Grundverord-nung (DS-GVO) ist, dass das Marktortprinzip (Level Playing Field) fest verankert wird. Das bedeutet, dass in der EU erhobene Daten der DS-GVO unterliegen und nicht nur wie bisher den Datenschutzgesetzen des jeweiligen Staa-tes. Dies hat ebenso auf die Schweiz eine Aus-wirkung.
Eine weitere Forderung ist die Einfüh-rung eines verpflichtenden «Data Protection Impact Assessments» bei risikobehafteten Da-tenverarbeitungsmodellen. Betroffene Unter-nehmen müssen gemäss DS-GVO einen Pro-zess für ein «Privacy & Security Assessment» implementieren. Das fand in Organisationen bisher auf freiwilliger Basis statt.
Nichterfüllung / Nichtumsetzung
Die wichtigste Neuerung aber ist die deutliche Erhöhung der Bussgelder. Sie können bei er-heblichen Verstössen gegen die DS-GVO bis zu vier Prozent des weltweiten Jahresumsatzes betragen! Die Nichterfüllung/Nichtumsetzung der gesetzlichen Anforderungen aus dem IT-Sicherheitsgesetz und der DS-GVO birgt ein enorm hohes Risikopotenzial – in kommerziel-ler Hinsicht wie auch für die Reputation eines Unternehmens.
Steht zudem eine Verletzung der Legali-tätspflicht nach dem Aktien- respektive dem GmbH-Gesetz im Raum, wird die Führung ei-ner Organisation unmittelbar mit dem Thema Compliance konfrontiert. Die Gefahr eines Compliance-Verstosses besteht ausserdem, wenn betroffene Unternehmen die Anforde-rungen des IT-Sicherheitsgesetzes nicht recht-zeitig umsetzen, Sicherheitsvorfälle nicht mel-den, die DS-GVO-Regelungen verletzen und/ oder entsprechende Datenschutzverstösse nicht melden.
Managen weiterer Compliance-Risiken
Die Führung eines Unternehmens genügt da-bei ihrer Organisationspflicht bei entsprechen-der Gefährdungslage nur, wenn eine auf Scha-densprävention und Risikokontrolle angelegte Compliance-Organisation eingerichtet wurde. Entscheidend für deren Umfang sind dabei Art, Grösse und Organisation des Unterneh-mens, die zu beachtenden Vorschriften, die geografische Präsenz und Verdachtsfälle aus der Vergangenheit.
Von besonderer Bedeutung ist hierbei die Implementierung eines auf die Bedürf-nisse der Organisation abgestimmten Risiko-managements, das diesen Anforderungen gerecht werden kann. Weitere Haftungsrisi-ken ergeben sich – z. B. in Deutschland – aus Paragrafen des Ordnungswidrigkeitsgesetzes (OWiG). Speziell in § 130 des OWiG sind Auf-sichtspflichten einer Organisation definiert, durch die eine unternehmensbezogene Straftat oder Ordnungswidrigkeit durch eine angemessene Aufsicht als verhindert oder wesentlich erschwert gilt:
- Sorgfältige Auswahl von Mitarbeitern und Auf-sichtspersonen
- Sachgerechte Organisation und Aufgabenver-teilung
- Angemessene Unterweisung und Aufklärung der Mitarbeiter über ihre Aufgaben und Pflichten
- Ausreichende Überwachung und Kontrolle der Mitarbeiter
- Einschreiten gegen Verstösse und ggf. Sanktio- nierung von Verstössen
Es ist daher nicht nur für grosse Konzerne, sondern gerade auch für den Mittelstand ziel-führend, ein Compliance Management System (CMS) zu implementieren, das zunächst prä-ventiv, aber im Bedarfsfall auch repressiv die Legalitätspflicht nach dem AktG oder GmbHG sicherstellt und eine etwaige Haftung für Vor-stände bzw. Geschäftsführer signifikant redu-ziert oder komplett vermeidet. Der Mehrwert eines solchen CMS besteht darin, dass es nicht auf die Umsetzung des IT-Sicherheitsgesetzes beschränkt ist, sondern sich ganzheitlich auf alle gesetzlichen bzw. rechtlichen Anforde-rungen erstreckt. Zudem bezieht es unterneh-mensinterne Richtlinien, Vorschriften und Verhaltenscodices ein.
Management-System-Normen
Auch im Bereich der Management-System-Normen sind die Anforderungen an die Be-wertung von Risiken und Chancen in jüngster Zeit spürbar gestiegen. Externe Zertifizierun-gen schaffen jedoch hohe Sicherheitsstan-dards in den geforderten Unternehmen. Viel-fach ist es für Betriebe mittlerweile sogar zwingend, bestimmte Zertifizierungen nach-zuweisen, so zum Beispiel bei der Auftrags-vergabe oder bei Ausschreibungen im Öffent-lichen Bereich.
Unter anderem stellen folgende Regel-werke – in diesem Zusammenhang – wesentli-che Zertifizierungsanforderungen:
- Qualitätsmanagement nach ISO 9001
- Risikomanagement nach ISO 31000
- Compliance Management System nach IDW PS 980 oder ISO 19600
- Informationssicherheit ISO/IEC 27001
