Governance

Wir sind nicht nur für das verantwortlich, was wir tun, sondern auch für das, was wir nicht tun
(ein Molière zugeschriebenes Zitat)

Das AktG und das GmbHG legen fest, dass die Geschäftsführer bzw. Vorstandsmitglieder „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden haben“. Aus rechtlicher Sicht ist für die Anwendung der ordentlichen Sorgfalt die Beachtung relevanter Rechtsnormen zentral. Wie aber kann der Geschäftsführer bzw. der Vorstand die Beachtung der relevanten Rechtsnormen durch das Unternehmen, dessen Management und Mitarbeiter bewerkstelligen? Die Antwort darauf ist: durch den Aufbau einer Compliance-Organisation unter „Mithilfe“ aller Unternehmensbereiche.
Grundsätzlich gibt es eine Vielzahl von möglichen Compliance Maßnahmen:

  • Erstellung eines Verhaltenskodex als Basis für eine Compliance -Kultur des Unternehmens
  • Richtlinien und Schulungen in Bezug auf den jeweiligen Fachbereich: Steigerung des Wissens und der Awareness
  • Handlungsanweisung (SOP): klare Definition eines Vorgehens, zB für den Fall eines datenschutzrechtlich relevanten data breaches
  • Compliance-Audits: Prüfung der Einhaltung und Effektivität der Compliance-Organisation

Ich berate und unterstütze Unternehmen bei der Festlegung von Compliance Maßnahmen beispielsweise in folgenden Bereichen:

  • Cybersicherheit & Resilienz: Vorbereitung auf NIS2 (Netz- und Informationssicherheit – EU-Richtlinie bzw. nationales Gesetz) und CER (EU-Richtlinie über die Resilienz kritischer Einrichtungen)
    • Bildung eines Cybersecurity Teams, Risikoanalyse und Festlegung der erforderlichen Risikomanagementmaßnahmen
    • Dazu gehören Maßnahmen zur Bewältigung von Sicherheitsvorfällen: Incident Response Management (auch mit externen Vertragspartnern) bestehend aus Präventionsmaßnehmen, Notfallmaßnahmen und Prozess für den Umgang mit Sicherheitsvorfällen
    • Festlegen von Compliance Maßnahmen (zB Richtlinie und Schulung)
  • Software-Verträge, insb. SaaS & Co und IT-Projektverträge
    • Prüfprozess
    • Vertragsmanagement
    • Vertragslandkarte: Prüfen der Verträge auf „Kompatibilität“ untereinander
  • Einsatz von Standard-Software
    • Proaktives Lizenzmanagement
    • Policy zu Download bzw. Verwendung durch Mitarbeiter
  • Open Source Software
    • Richtlinie zum Einsatz von OSS
    • Checkliste für Lizenzüberprüfung
    • Black/White List
  • Künstliche Intelligenz (KI)
    • Assessment für den geplanten Einsatz eines KI-Systems und dessen rechtliche Voraussetzungen
    • Check der Nutzungsbedingungen des KI-Systems
    • Überprüfung der Compliance über die Dauer des Einsatzes
  • Data Governance & Datenschutz
    • Datenschutz-Richtlinie
    • Handlungsanweisungen (SOP)