Compliance meint die Konformität mit allen relevanten Regeln. Inzwischen ist Compliance ein Sammelbegriff für verschiedene Themen geworden, etwa Datenschutz, Informationssicherheit, Arbeitssicherheit, Standards in der Organisation, aber auch die Gleichbehandlung
aller Mitarbeiter und Bewerber (Maßnahmen gegen die Diskriminierung) sowie die Einhaltung von Mindestlohngrenzen und Equal Pay.
Einige Unternehmen gehen hier noch einen Schritt weiter und verpflichten sich darüber hinaus zur Einhaltung von weiteren Regeln, die sie für sich selbst erarbeitet haben, etwa ethische Standards, Klimaschutz bzw. Umweltschutz durch Nachhaltigkeit, etc.
Sofern die Regelungen gesetzlich verankert sind, gibt es bei der Umsetzung meistens nur wenig Spielraum, Ist die Umsetzung nur unzureichend oder gar nicht erfolgt, handelt es sich nicht nur um einen Regelverstoß, sondern im Zweifel um einen Gesetzesverstoß. Die persönliche Haftung trägt am Ende die Geschäftsführung.
Ab einer bestimmten Unternehmensgröße empfiehlt es sich, für bestimmte Themen einen Beauftragten
zu benennen, der im Idealfall nicht der Geschäftsführung angehört. Die Tätigkeit als Beauftragter muss nicht immer einer Vollzeitstelle entsprechen; sie wird dann als Zusatzjob an jemanden übertragen, der ausreichend qualifiziert und erfahren ist. Größere Organisationen haben unter Umständen für mehrere Themen einen Beauftragten zu benennen. Werden diese verschiedenen Rollen auf eine Person konzentriert, spricht man i. d. R. vom Compliance Beauftragten, oder vom Chief Compliance Officer.
Die organisatorische Umsetzung
Dabei kann es passieren, dass nationale Gesetzgebung von europäischen Richtlinien tangiert werden, wodurch es zu Änderungen in der nationalen Gesetzgebung kommen kann. Da die Anpassung der nationalen Gesetzgebung an neue europäische Richtlinien meistens mit Verzögerung stattfindet, bleibt in der Regel ausreichend Zeit zur Vorbereitung. So wurde z. B. die Europäische Datenschutz Grundverordnung (EU DS-GVO) bereits im Mai 2016 verabschiedet, trat dann aber erst im Mai 2018 in Kraft.
Um die Compliance des Unternehmens sicherzustellen, empfiehlt sich der Aufbau eines Compliance Management Systems
(CMS). Zuerst wird der inhaltliche und organisatorische Rahmen des CMS abgesteckt, also welche Gesetze, Regeln und Werte überwacht werden sollen, und wie weit das CMS greifen soll; so kann ein CMS zum Beispiel nur intern gelten, oder auch auf Lieferanten ausgedehnt werden.
Darüber hinaus müssen konkrete Compliance-Ziele
definiert werden (z. B. Einführung eines Datenschutz-Management bis Datum vX, Abschluss eines Vertrages zur Auftragsdatenverarbeitung mit allen Lieferanten bis zum Datum xY, und Durchführung einer Mitarbeiterschulung zum Datenschutz bis zum Datum yZ).
Ein weiterer Schritt ist die Darstellung aller bekannten Compliance-Risiken, also alle schadhafte Konsequenzen, die sich aus etwaigen Regelverstößen ergeben könnten. Diese Risiken sind zu gewichten und mit den Compliance-Zielen abzugleichen. Geht die Abdeckung aller Risiken aus den Compliance-Zielen nicht hervor, so sind die Ziele zu erweitern oder zu korrigieren.
Stehen alle Compliance-Ziele und Risiken fest, so muss eine adäquate Compliance-Organisationsstruktur
geschaffen werden, um die Risiken und die Ziele zu beobachten und die Einhaltung der Regeln und Standards im Unternehmen zu implementieren und zu unterstützen.
Zu den Aufgaben der Compliance-Organisation gehört also die Kommunikation
der Compliance-Risiken und -Ziele im gesamten Unternehmen, bzw. die Sicherstellung einer zentralen Compliance-Information für alle Mitarbeitenden. Zu dieser Aufgabe gehört auch die Durchführung von Mitarbeiterschulungen
und sog. Awareness-Kampagnen. Das Awareness-Training stellen wir für Sie online bereit, so dass sich Ihre Mitarbeiter lediglich einloggen müssen und sofort mit der Schulung beginnen können. Hier finden Sie die Preisliste
zum Download.
Interessant wird es für Unternehmen, welche kurz davor sind, eine Schwelle zu überschreiten, wodurch sie erstmalig unter eine gesetzliche Regelung fallen, von der sie bisher nicht betroffen waren. Nun sollte rechtzeitig Klarheit darüber herrschen, ob die Kompetenz zur Erarbeitung und Einführung der entsprechenden Compliance-Maßnahmen intern aufgebaut, oder extern zugekauft wird. In beiden Fällen können wir Sie durch entsprechendes Know-how unterstützen.