Jörg Gogarn. Compliance. in mittelständischen Unternehmen

Transkript

1 Jörg Gogarn Compliance in mittelständischen Unternehmen

2 Inhaltsverzeichnis Vorwort 1 Was ist Compliance 3 Ziele von Compliance 4 Elemente des Compliance-Begriffs 5 Rechtlicher Rahmen für Unternehmens-Compliance 6 Verantwortlichkeiten in einer Kapitalgesellschaft 7 Verantwortlichkeiten in einem Personenunternehmen 8 Sanktionen für Compliance-Verstöße 9 Allgemeine Haftungstatbestände für Unternehmensführer 11 Haftung wegen persönlichen Fehlverhaltens 11 Haftung wegen Organisationsverschuldens 12 Korruptionsprävention 13 Korruptionsprävention in Deutschland 13 Bestechung und Bestechlichkeit von Amtsträgern 13 Begriff des Amtsträgers 14 Bestechung und Bestechlichkeit im geschäftlichen Verkehr 14 Begriff des Angestellten" und des Beauftragten" 15 Abgrenzung zwischen legaler Kundenpflege und Korruption 15 Korruptionsprävention im US-Recht: Foreign Corrupt Practices Act 16 Anwendungsbereich 17 Zuständige Strafverfolgungsbehörden 17 Begriff des ausländischen Amtsträgers 17 Inhalt des FCPA 18 Verantwortung für Dritte 18 Sanktionen 19 Anwendbarkeit für deutsche Unternehmen 19 Korruptionsprävention im britischen Recht: UK Bribery Act 19

3 Inhalt des UKBA 20 Zuständige Strafverfolgungsbehörden 20 Begriff des ausländischen Amtsträgers 20 Präventive Maßnahmen zur Verhinderung von Korruption 20 Verantwortung für Dritte 21 Sanktionen 22 Handlungsempfehlung 22 Wettbewerbsrecht 23 Wesentliche Unlauterkeitstatbestände 23 Rechtsfolgen im Wettbewerbsrecht 27 Kartellrecht 29 Ziel des Kartellrechts und Risiken von Compliance-Verstößen 29 Verhalten im Umgang mit Kartellbehörden, Kronzeugenregelung 30 Das Verbot wettbewerbsbeschränkender Vereinbarungen 31 Tatbestandsmerkmale des Verbots 32 Ausnahmen (Freistellung) vom Verbot 34 Bedeutung der Selbstprüfung 36 Fallgruppen horizontaler Vereinbarungen zwischen Wettbewerbern 37 Fallgruppen vertikaler Vereinbarungen (Vertriebsbeschränkungen) 41 Missbrauch einer marktbeherrschenden Stellung 44 Definition einer marktbeherrschenden Stellung 44 Diskriminierungsverbot bei marktbeherrschender Stellung 45 Behinderung von Wettbewerbern bei marktbeherrschender Stellung 45 Ausnutzen von Marktmacht gegenüber abhängigen Unternehmen 46 Exportkontrolle und Außenwirtschaftsrecht 47 Rechtsgrundlagen 47 Instrumente des Exportkontrollrechts 48 Exportkontrollierte Güter 48

4 Besonderheiten bei Outsourcing und Cloud Computing 49 Besonderheiten bei grenzübergreifender Software-Entwicklung 49 Besonderheiten für Vermittlungsgeschäfte 49 Umgang mit Embargoländern 49 Beachtung des US-amerikanischen Rechts 50 Compliance im Exportkontrollrecht 50 Finanzberichterstattung 51 Buchführungspflicht 51 Anforderungen an eine elektronische Buchführung 55 Verantwortlichkeiten und Sanktionen 56 Interne Kontrollen 57 Externe Kontrollen 58 Besteuerung 59 Steuerrechtliche Mitwirkungspflichten 59 Sanktionen 61 Archivierungspflichten Archivierungspflichten nach Handelsrecht 62 Archivierungspflichten im Steuerrecht 63 Archivierungsrichtlinie im Unternehmen 65 Unternehmenspublizität 66 Anmeldungen zum Handelsregister 66 Veröffentlichungen im Untemehmensregister 67 Pflichtangaben in der geschäftlichen Korrespondenz 69 Anbieterkennzeichnung für Internetseiten 69 Urheberrechtsabgaben 71 IT-Compliance 73 IT-Compliance als Aufgabe des Managements 73 Anforderungen von IT-Compliance 74

5 IT-gestütztes Informations- und Kontrollsystem (IKS) 75 SOX & Co 76 Audit der IT-Systeme 77 IT-Security 78 Elektronische Archivierung 79 Elektronische Prüfung/GDPdU 80 Rechtskonforme IT-Systeme und Lizenzmanagement 82 IT-Compliance mit und durch IT-Standards 83 Die Suche nach dem passenden IT-Standard 83 Die Rechtsfolge der Einhaltung von IT-Standards und Best Practices aus der Finanzwelt 84 Das Damokles-Schwert der Haftung/ Fazit 85 Anhang: IT-Compliance-Checkliste 86 IT-Grundschutz-Standards (BSI) 87 Management von Software-Lizenzen 90 Lizenzmodelle 91 Lizenzmanagement 92 Nutzen des Lizenzmanagements 93 Einrichtung eines Lizenzmanagements 95 Softwarelizenz-Audits 95 Besonderheiten im Lizenzmanagement für Open Source Software 96 Alternative: Software as a Service (SaaS) 97 Verkauf von überschüssigen Lizenzen - Gebrauchtsoftware 98 Datenschutz und Datensicherheit Schutz personenbezogener Daten 101 Datenverarbeitung durch Dritte 102 Besondere Arten personenbezogener Daten 102 Datenschutzrechtliche Mindestanforderungen 102 Umweltrechtliche Compliance-Anforderungen 104

6 Entsorgung von Elektro-Altgeräten 104 Stoffvorgaben für Gerätehersteller 106 Entsorgung von Verkaufsverpackungen 107 Anforderungen durch europäische Produktstandards Compliance-Management im Unternehmen 110 Einfuhrung eines Compliance-Management-Systems 112 Ausgestaltung des Compliance-Management-Systems 112 Mögliche Organisationsformen für das Compliance-Management 115 Restriktionen des Compliance-Managements 115 Dokumentation der Geschäftsprozesse - Richtlinienmanagement, Policies & Procedures Dokumentenebenen und -arten 118 Inhaltliche Gliederung und Gestaltung der Dokumente 119 Policy Lifecycle 120 Technische Unterstützung 122 Compliance-Beauftragter 123 Stellung des Compliance-Beauftragten 124 Haftung des Compliance-Beauftragten 125 Internes Kontrollsystem 127 Übersicht zum internen Kontrollsystem (IKS) 128 Interne Revision 130 Zusammenfassung 133 Praktikables IKS-Rahmenkonzept für mittelgroße Unternehmen 134 Kontrollkultur 135 IKS-Grundsätze 136 Prozesse 136 Risikoidentifikation und -beurteilung 136 Kontrollmaßnahmen 139 Dokumentation 140

7 Überprüfung und Evaluation 141 Fazit 143 Deutscher Corporate Governance Kodex 144 Präambel 145 Aktionäre und Hauptversammlung 146 Aktionäre 146 Hauptversamml ung 146 Einladung zur Hauptversammlung, Briefwahl, Stimmrechtsvertreter 147 Zusammenwirken von Vorstand und Aufsichtsrat 147 Vorstand 149 Aufgaben und Zuständigkeiten 149 Zusammensetzung und Vergütung 150 Interessenkonflikte 152 Aufsichtsrat 152 Aufgaben und Zuständigkeiten 152 Aufgaben und Befugnisse des Aufsichtsratsvorsitzenden 153 Bildung von Ausschüssen 153 Zusammensetzung und Vergütung 153 Interessenkonflikte 156 Transparenz 156 Rechnungslegung und Abschlussprüfung 157 Rechnungslegung 157 Abschlussprüfung 157 Anlage 158 Mustertabelle 1 zu Zusammensetzung und Vergütung": Wert der gewährten Zuwendungen für das Berichtsjahr 158 Mustertabelle 3 zu Zusammensetzung und Vergütung": Zufluss für das Berichtsjahr 160 Standard für Compliance Management Systeme (CMS) 163

8 Vorwort 163 Einleitung 165 Anwendungsbereich 165 Ziele des Compliance Management Systems 166 Begriffe 166 Compliance Management System 167 Allgemeine Anforderungen 167 Dokumentationsanforderungen 168 Verantwortung der Leitung 169 Verpflichtung der Leitung 169 Verantwortung, Befugnis und Kommunikation 170 Managementbewertung 171 Management von Ressourcen 172 Bereitstellung von Ressourcen 172 Personelle Ressourcen 172 Infrastruktur 173 Compliance-Prozesse und Umsetzung 173 Spezifische Compliance-Risiken der Organisation 173 Anwendbare Compüance-Anforderungen 173 Entscheidung über die angemessenen Maßnahmen zur Erfüllung der Compliance-Anforderungen 174 Integration der Compliance-Anforderungen in die Arbeitsabläufe 174 Umgang mit compliance-relevanten Interessenskonflikten 174 System von Freigaben, Genehmigungen und Berechtigungen 174 Hinweisgebersystem 174 Beratung, Unterstützung 175 Umgang mit compliance-relevanten Vorgängen 175 Externe Dienstleister 175

9 Systemüberwachung, -analyse und -Verbesserung 175 Interne Audits 175 Überwachung 176 Verbesserung 177 Die Grundsätze ordnungsmäßiger DV-gestützter Buchfuhrungssysteme (GoBS) 178 Anwendungsbereich (Tz. 1 der GoBS) 178 Beleg-, Journal- und Kontenfunktionen (Tz. 2 der GoBS) 178 Buchung (Tz. 3 der GoBS) 179 Internes Kontrollsystem (IKS/Tz. 4 der GoBS) 179 Datensicherheit (Tz. 5 der GoBS) 179 Dokumentation und Prüfbarkeit (Tz. 6 der GoBS) 180 Aufbewahrungsfristen (Tz. 7 der GoBS) 180 Wiedergabe der auf Datenträgern geführten Unterlagen (Tz. 8 der GoBS) 180 Grundsätze ordnungsmäßiger DV-gestützter Buchfuhrungssysteme (GoBS) 182 Vorwort 182 Anwendungsbereich 183 Beleg-, Journal- und Kontenfunktion 184 Buchung 187 Internes Kontrollsystem (IKS) 188 Datensicherheit 190 Dokumentation und Prüfbarkeit 192 Aufbewahrungsfristen Wiedergabe der auf Datenträgern geführten Unterlagen 195 Verantwortlichkeit 196 Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) 197 Allgemeines 197

10 Nutzbarmachung außersteuerlicher Buchfuhrungs- und Aufzeichnungspflichten für das Steuerrecht 197 Steuerliche Buchfuhrungs- und Aufzeichnungspflichten 198 Aufbewahrung von Unterlagen zu Geschäftsvorfällen und von solchen Unterlagen, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen von Bedeutung sind 198 Ordnungsvorschriften 198 Führung von Büchern und sonst erforderlichen Aufzeichnungen auf Datenträgern 199 Beweiskraft von Buchführung und Aufzeichnungen, Darstellung von Beanstandungen durch die Finanzverwaltung 199 Aufzeichnungen 199 Bücher 200 Geschäftsvorfalle 200 Grundsätze ordnungsmäßiger Buchführung (GoB) 200 Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme 201 Verantwortlichkeit 201 Allgemeine Anforderungen 201 Grundsatz der Nachvollziehbarkeit und Nachprüfbarkeit ( 145 Absatz 1 AO, 238 Absatz 1 Satz 2 und Satz 3 HGB) 202 Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung 203 Belegwesen (Belegfunktion) 208 Belegsicherung 209 Zuordnung zwischen Beleg und Grund(buch)aufzeichnung oder Buchung 209 Erfassungsgerechte Aufbereitung der Buchungsbelege 210 Besonderheiten 211 Aufzeichnung der Geschäftsvorfalle in zeitlicher Reihenfolge und in sachlicher Ordnung (Grund(buch)-aufzeichnungen, Journal- und Kontenfunktion) 212 Erfassung in Grund(buch)-aufzeichnungen 212 Digitale Grund(buch)-aufzeichnungen 213

11 Verbuchung im Journal (Journalfunktion) 213 Aufzeichnung der Geschäftsvorfälle in sachlicher Ordnung (Hauptbuch) 215 Internes Kontrollsystem (IKS) 216 Datensicherheit 216 Unveränderbarkeit, Protokollierung von Änderungen 217 Aufbewahrung 218 Maschinelle Auswertbarkeit ( 147 Absatz 2 Nummer 2 AO) 220 Elektronische Aufbewahrung 222 Elektronische Erfassung von Papierdokumenten (Scanvorgang) 223 Auslagerung von Daten aus dem Produktivsystem und Systemwechsel 224 Nachvollziehbarkeit und Nachprüfbarkeit 225 Verfahrensdokumentation 225 Lesbarmachung von elektronischen Unterlagen 226 Datenzugriff 226 Umfang und Ausübung des Rechts auf Datenzugriff nach 147 Absatz 6 AO 227 Umfang der Mitwirkungspflicht nach 147 Absatz 6 und 200 Absatz 1 Satz 2 AO 229 Zertifizierung und Software-Testate 230 Anwendungsregelung 231 Herausgeber und Autor 232