Die Compliance-Organisation Teil 2 – Senken des Haftungsrisiko durch Compliance

"Wir sind nicht nur verantwortlich für das, was wir tun, sondern auch für das, was wir nicht tun." (ein Molière zugeschriebenes Zitat)

„Compliance“ bedeutet die Einhaltung von Rechtspflichten. Als Compliance-Organisation werden organisatorische Maßnahmen bezeichnet, die der Sicherstellung der Einhaltung der Rechtspflichten dienen und proaktiv Rechtsverstöße durch das Unternehmen und dessen Mitarbeitern verhindern bzw. frühzeitig erkennen sollen.

Die tatsächliche Ausgestaltung der unternehmensweiten Compliance-Organisation liegt im Ermessen des Vorstandes bzw. der Geschäftsführung und richtet sich nach dem individuellen “ Compliance -Risikoprofil“ des jeweiligen Unternehmens, das unter anderem durch das regulatorische Umfeld des Unternehmens, Branche und Größe, Geschäftsmodell und Auslandsaktivitäten sowie etwaige Compliance -Verstöße in der Unternehmenshistorie bestimmt wird.

Die unternehmensweite Compliance-Organisation kann aber nur wirksam funktionieren, wenn jeder Unternehmensbereich seinen „Beitrag“ leistet.
Bei der systematischen Erhebung und Analyse der für die IT relevanten Compliance -Risiken trifft man auf bereits „alte Bekannte“, wie zB die Einhaltung von urheberrechtlichen Vorgaben für Software, dazu zählen:

  • Softwareentwicklung und Einsatz von Open Source Software Komponenten: wirksame Lizenzprüfung vor der Code-Entwicklung
  • Standard-Software – Lizenzmanagement: Überprüfung der Einhaltung der Lizenzregeln des Herstellers vor dem Einsatz
  • Verwendung und Download von Software durch Mitarbeiter

Aber auch neue Themen wie zB

  • KI & ChatGPT: Einhaltung der Vorgaben der von der EU geplanten Regulierung von Systemen Künstlicher Intelligenz
  • Cybersicherheit: Einhaltung der zukünftigen Auflagen in der neuen EU-Richtlinie mit der Bezeichnung „NIS 2“, die von den Mitgliedstaaten bis 17. Oktober 2024 umzusetzen ist

Abgesehen von besonderen Organisationsvorgaben für bestimmte Branchen, gibt es eine Vielzahl von möglichen Compliance Maßnahmen:

  • Compliance -Kultur: Vorbildfunktion von Geschäftsleitung und Führungskräften
  • Mitarbeiter-Handbuch
  • Handlungsanweisung (SOP): klare Definition eines Vorgehens, zB bei Regelverstoß
  • Richtlinien und Schulungen in Bezug auf den jeweiligen Fachbereich: Steigerung des Wissens und der Awareness
  • Prüfungsprozess: Prozess zur fachlichen und rechtlichen Überprüfung von Verträgen
  • Compliance-Audits: Prüfung der Einhaltung und Effektivität der Compliance-Organisation

Dokumentation der Compliance -Maßnahmen sowie der Vorgehensweise und Reaktion im Umgang mit Compliance -Fällen.
Diese Dokumentation kann der Geschäftsleitung in Fällen von „Non- Compliance “ den Nachweis ihrer Einrichtung einer Compliance -Organisation erleichtern.

Vertiefende Informationen zur Rolle des CIOs in einer Compliance-Organisation und den Red Flags für Ihre Key-Themen erhalten Sie im Seminar IT-Recht für CIOs der Confare: Persönliches Haftungsrisiko des CIOs bzw. Abteilungsleiters IT – Senken durch Compliance-Maßnahmen am 12. November 2024