Homeoffice und Compliance in Zeiten der Corona-Pandemie


Triumpf des Todes – Pieter Bruegel der Ältere (* um 1525/1530 † 9. September 1569), Maler der niederländischen Renaissance

Prolog:

“Das ist eine Idee, über die man lachen kann, aber die einzige Art, gegen die Pest anzukämpfen, ist der Anstand.“
Albert Camus (* 7. November 1913 † 4. Januar 1960) aus „Die Pest“ (1947)

Momentan befinden wir uns in einer geschichtlichen Phase mit einer Bedrohung für die Menschen und die globale Wirtschaft, welche wir uns vor einem Jahr noch nicht einmal hätten vorstellen können. Die aktuelle Situation kennen wir eigentlich für uns persönlich nur aus Geschichtsbüchern. Natürlich gab es in der Geschichte der Menschheit immer wieder Bedrohungen durch Krankheiten, doch hat sich bis heute niemals eine Pandemie weltweit so schnell ausgebreitet wie Covid-19.

Zu Anfang dieses Blogbeitrags ein Blick zurück, der auch ein Blick nach vorne sein kann, was vielleicht in der Zukunft auf uns zukommen könnte bzw. hoffentlich nicht auf uns zukommen wird.

Rückblick

Pandemien gibt es, solange es Menschen gibt. Die meisten Opfer hatte wohl die Pest Mitte des 14. Jahrhunderts. Sie forderte weltweit schätzungsweise mehr als 200 Millionen Menschenleben, allein in Europa soll rund die Hälfte der Bevölkerung ums Leben gekommen sein. Es dauerte rund 100 Jahre, bis sich die Bevölkerungszahl auf das Vor-Pest-Niveau erholte. Die politischen, wirtschaftlichen und kulturellen Auswirkungen waren dramatisch.

Besser im Gedächtnis geblieben ist die Spanische Grippe von 1918 bis 1920. Sie ist die bisher letzte große Pandemie der Neuzeit und gerade mal 100 Jahre her. Sie war eine Mutation der Vogelgrippe und kam aus den USA ins kriegswunde Europa. An ihr starben nach Schätzungen 25 bis 50 Millionen Menschen. Die Spanische Grippe fegte in drei Wellen über die Welt. Im Frühjahr 1918 brach die erste Welle los, fiel aber angesichts von wöchentlich vielen tausend Toten an der Front zunächst nicht auf. Erst später merkte man, dass zum Beispiel die amerikanische Armee fast so viele Soldaten durch die Grippe wie durch Kriegshandlungen verlor.

Besonders tödlich verliefen die zweite und dritte Welle ab Herbst 1918 bzw. Frühjahr 1919. Zwei von drei Menschen infizierten sich mit dem Virus. In den industrialisierten Ländern lag die Sterblichkeit bei rund fünf Prozent und in ärmeren Ländern bei bis zu zehn Prozent. Insgesamt forderte die Grippe mehr Tote als der erste Weltkrieg. Rund zwei Prozent der damaligen Weltbevölkerung von 1,8 Milliarden Menschen starb an ihr.

Die bisherigen Opferzahlen der heutigen Covid-19-Pandemie sind von den Horrorzahlen der Spanischen Grippe noch sehr weit entfernt. Gemeinsamkeiten sind beiden Pandemien die schnelle und weltweite Ausbreitung und die hohen Sterblichkeitsraten. Allerdings sind wir heute, gerade im medizinischen Bereich, in einer besseren Position als wir es 1918 am Ende des Weltkriegs waren. Aus diesem Grund sind die Voraussetzungen für einen Erfolg bei der Bekämpfung, zum Beispiel durch Impfungen, deutlich höher und erfolgversprechender.

Corona – Wie alles begonnen hat

Von China ausgehend hat sich das neue Coronavirus SARS-CoV-2 weltweit verbreitet. Die Millionenmetropole Wuhan in der Provinz Hubei war dabei mit großer Wahrscheinlichkeit das Zentrum des Ausbruchs. Die damit einhergehende Erkrankung wird Coronavirus Disease 2019 (COVID-19) genannt. Das Virus SARS-CoV-2 hat sich in der kurzen Zeit nach seiner erstmaligen Entdeckung im Dezember 2019 sehr effizient insbesondere durch Tröpfcheninfektion, aber auch durch Aerosolinfektion, von Mensch zu Mensch ausgebreitet.

Am 31. Dezember 2019 wurde das WHO-Landesbüro in China über eine Häufung von Lungenentzündungen in Wuhan informiert. Die chinesischen Behörden haben am 7. Januar 2020 das neuartige Coronavirus SARS-CoV-2 als Ursache der Erkrankung identifiziert. Die WHO hat am 11. März 2020 das Infektionsgeschehen als „pandemisch“ charakterisiert. In der ersten Phase war China am stärksten betroffen, es folgten dann als „Hotspots“ Europa, die Vereinigten Staaten von Amerika, Südamerika und schließlich Indien.

Mit Beginn der Coronapandemie wurde für viele Arbeitnehmer Homeoffice plötzlich und ungeplant zum neuen Standard, von zu Hause aus zu arbeiten. Für die meisten eine völlig neue Erfahrung und auch für zahlreiche Unternehmen eine große Umstellung.

Homeoffice – ein neuer Trend, der keiner ist!

Dabei ist der Begriff des Homeoffice, als das Arbeiten von daheim (Heimarbeit) an sich eigentlich nichts Neues in der vergangenen zeitlichen Historie. Tatsächlich ist die Heimarbeit sogar älter, als die Arbeit in industriellen Großbetrieben und kann bis ins 13. Jahrhundert zurückverfolgt werden. Einen großen Ausschlag für „Arbeiten von zu Hause“ war die Einführung des Verlagssystems, später auch Verlagswesen genannt. Der Begriff Verlagswesen steht für die dezentrale Arbeitsorganisation. Meist waren es zu Anfang Textilien, die dabei von den so genannten Verlegten, in der Regel Frauen und Kinder, in Heimarbeit hergestellt wurden, um dann durch den Verleger zentral vermarktet zu werden. Das Wort „Verlag“ leitet sich von Vorlage ab. Der Verleger trat dabei mit Geld (Finanzierung) und/oder Rohstoffen in Vorlage

Hier gilt natürlich, dass sich die damalige Heimarbeit in keiner Weise mit dem heutigen, modernen, computer- und internetgestützten Homeoffice vergleichen lässt. Mit Beginn der Corona-Pandemie sind Millionen Berufstätige in Deutschland ins Homeoffice gewechselt und bis heute nicht wieder in die Büros zurückgekehrt. Auch ist ein Ende der Arbeit im Homeoffice für die meisten Mitarbeiter zum jetzigen Zeitpunkt (Stand April 2021) im Hinblick auf die Pandemie und die Maßnahmen der Bundesregierung nicht abzusehen.

Betrachtet man das Jahr 2020, so arbeiteten ein Viertel (25 Prozent) der Berufstätigen ausschließlich im Homeoffice. Dies entspricht in etwa 10,5 Millionen Berufstätigen. Auf weitere 20 Prozent (8,3 Millionen) trifft das zumindest teilweise zu, also nicht an allen Arbeitstagen pro Woche. Insgesamt arbeitet damit aktuell fast jeder Zweite (45 Prozent) zumindest teilweise im Homeoffice. Homeoffice bringt für Arbeitnehmer und auch Arbeitgeber Vorteile. Nicht vergessen werden dürfen aber die Risiken, die sich bei dieser Form des Arbeitens ergeben können.

Nach mittlerweile über einem Jahr in der Coronakrise gilt die herrschende Meinung, dass das Arbeiten von zu Hause kein temporäres Phänomen während der Pandemie ist, sondern das Arbeiten im Büro, zumindest in Teilen, auch nach dem Ende der Pandemie ersetzen kann und wird. Momentan wird daher viel über die Vorteile und Vorzüge des Homeoffice in vielen Branchen und Unternehmen diskutiert und teils sogar schon geplant.

Die Risiken dürfen hier nicht vergessen werden!

Die Unternehmen müssen sich sehr schnell Gedanken darüber machen, wie sie ein sicheres Arbeiten von zu Hause, beginnend mit dem Arbeitsplatz und der Peripherie, für Arbeitnehmer schaffen können, da sich der Arbeitsplatz im Homeoffice von zu Hause deutlich von einer Tätigkeit in den dafür vorgesehenen und ausgestatteten Büros im Unternehmen unterscheidet.

Mit dem Übergang zu vermehrten Heimarbeitsplätzen wurden viele Mitarbeiter ins Homeoffice geschickt, sodass die Arbeit von zu Hause aus durch Laptops, Tablets und sonstige Mobile Devices im Großen und Ganzen aufrechterhalten werden kann. Die nachfolgenden Risiken sollen zeigen, dass mit der Verlagerung des Arbeitsplatzes aus den Büros die Infrastruktur des Arbeitsplatzes im Unternehmen sowie die geschützte Arbeitsumgebung im Büro auch nicht annähernd nachgebaut oder gar ersetzt werden konnten.

Die Bedrohungslage begann fast zeitgleich mit der Gefahr durch die Covid-19 Pandemie. Durch die Studie „Studying how Cybercriminals prey on the Covid-19 Pandemic“ aus dem Jahr 2020 wird belegt, dass im Zeitraum vom 01.01.2020 bis 31.03.2020 116.357 neue Domains mit Corona-Bezug identifiziert wurden. Ab dem 12.03.2020 wurden ca. 3.000 Domains pro Tag registriert. Von diesen wurden 2.022 Domains eindeutig als maliziös identifiziert, während 40.261 Domains, also fast ein Drittel, eindeutig als hochriskant eingestuft wurden.

Beispiel für die Bedrohung im Homeoffice

Der Mitarbeiter eines Unternehmens im Homeoffice erhält eine Reihe von Telefonanrufen. Der Anrufer gibt vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung (virtuelles privates Netzwerk) beheben zu müssen. Damit soll der Mitarbeiter im Homeoffice dazu gebracht werden, seine Zugangsdaten am Telefon mitzuteilen oder auf einer gefälschten Internetseite Daten einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die URL dieser Fake-Webseite erinnert an den Namen des Unternehmens. Auf einer gut programmierten Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen des tatsächlichen Unternehmens integriert sein.

Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als neue Mitarbeiter der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn oder anderen Social Media Plattformen und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So wird schnell der Eindruck vermittelt, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört.

Bei dieser Art von Angriff kommt es vor allem auf Schnelligkeit an. Die meisten Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung (MFA). Zusätzlich zu Username und Passwort ist zwingend eine weitere Information zur Authentifizierung erforderlich, damit das Einloggen möglich ist. Diese Information (ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird) ist in den meisten Fällen nur für einen sehr kurzen zeitlichen Rahmen gültig.

Diese Sicherheitsmaßnahme umgehen die Angreifer, indem sie auf ihren vorher erstellten Phishing-Seiten diese zusätzliche Information einfach mit abfragen. Sollte der Homeoffice-Mitarbeiter seine Log-in-Informationen gleich am Telefon mit angeben, loggen sich die Angreifer in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.

Schutz von Unternehmensdaten im Homeoffice

In den seltensten Fällen haben diese Arbeitnehmer zu Hause ein eigenes Arbeitszimmer. Häufig wird die Küche oder das Wohnzimmer genutzt. Hier ist eine Trennung von privatem und beruflichem Leben kaum oder nur sehr schwer durchzusetzen. Das zieht einige ungewollte Konsequenzen und deutliche Risiken nach sich.

  • Telefonate: Durch die oft nicht mögliche räumliche Trennung ist es möglich, dass dritte Personen hier Inhalte von Telefonaten ohne Probleme mithören können. Dies gilt gleichermaßen für Familienangehörige. Aber auch externe Personen wie Freunde oder zum Beispiel Handwerker oder Putzkräfte, können interne und vertrauliche Inhalte, gewollt oder ungewollt, mithören.
  • Private Speichermedien: Oft ersetzen (private) Smartphones einen Scanner, da dieser nicht vorhanden ist. Dokumente und Unterlagen mit vertraulichen Inhalten werden daher mit der Kamera des Handys fotografiert, in einer privaten Cloud-Struktur zwischengelagert, um dann als Bild via Messenger oder Mail versendet zu werden. Oft werden diese Bilder auf der Cloud des Messenger- oder Mail Anbieters gespeichert, deren Server in den meisten Fällen im Ausland zu finden sind, wodurch oft kein ausreichendes Datenschutzniveau gewährleistet ist, oder Benutzer die Rechte an den Daten weitegehend abtreten.
  • Unsichere Netzwerke: Da die Datenversendung von zu Hause aus passiert, wird in fast allen Fällen der hauseigene WLAN-Router des Anbieters für das private Internet genutzt. Firewall-Einstellungen oder sonstige Sicherheitsmaßnahmen, wie sie im Unternehmen für den Datenschutz genutzt werden, wird man in den seltensten Fällen für die private Nutzung des Internets von zu Hause aus finden. Zum Beispiel gilt dies auch für regelmäßige Software-Updates, die innerbetrieblich meist durch einen IT-Beauftragten regelmäßig durchgeführt werden.
  • Videokonferenzen: Mit dem Beginn des Homeoffice und der Dezentralisierung der Mitarbeiter nutzen sehr viele Unternehmen für Besprechungen und Meetings spezielle Software für Videokonferenzen. Allerdings haben diese Programme ihren eigentlichen Ursprung im privaten Bereich und wurden vor der Pandemie nicht für geschäftliche, und somit vertrauliche, Gespräche genutzt.

Die 8 nervigsten Probleme in einer Videokonferenz


Quelle: Online-Befragung 2/2021 von news aktuell und Faktenkontor / n=353 Teilnehmer aus Unternehmen, Organisationen und PR-Agenturen / Mehrfachnennungen möglich
Grafik: WIRTSCHAFTScampus

Notwendige Maßnahmen bei Homeoffice

Sämtliche Geschäftsprozesse müssen durch die veränderte Form des Homeoffice und der Auslagerung auf einen externen Arbeitsplatz außerhalb der feststehenden Geschäfts- und Unternehmensstruktur ausgerichtet und überprüft werden. Ausdrücklich gilt dies auch für alle Kontrollinstrumentarien.

In den Unternehmen vorhandene Arbeitsanweisungen, Richtlinien, Stellenbeschreibungen oder Schulungen sind nicht auf die neuen Herausforderungen ausgerichtet und müssen daher dringend auf die neue Arbeitssituation hin angepasst werden. Hier ist zu beachten, dass Unternehmen oft Unsummen investieren, um ihre Systeme zu schützen und dabei eines der wichtigsten Einfallstore außer Acht lassen: die Mitarbeiter. Eine umfassende Awarenesskampagne, die sich mit zielgruppenspezifischer Sensibilisierung der Mitarbeiter beschäftigt, ist daher unumgänglich und sollte in jedem Fall ergänzend zu Schulungen und Arbeitsanweisungen implementiert werden.

Ausdrücklich müssen diese, teils neuen und teils geänderten, Anweisungen in ein bestehendes Compliance Management System (CMS) mit eingebunden werden, um im Zuge einer Fortführung und/oder Intensivierung des Homeoffice existierende Risiken für das Unternehmen, ausdrücklich auch nach der Pandemie, adäquat und präventiv zu steuern.

Die besonderen Herausforderungen aus der Arbeit von zu Hause müssen Eingang in die Instrumente finden, die dem Unternehmen zur Erreichung seiner Ziele und zur Steuerung der Unternehmensrisiken zur Verfügung stehen. So sollte z.B. für das Homeoffice eine Richtlinie entwickelt werden, die den Mitarbeitern klare Vorgaben für die Arbeit im privaten Umfeld macht.

Mit einer solchen Arbeitsanweisung können die Lücken kompensiert werden, die sich aus dem Ausbrechen von bisherigen Arbeitsabläufen ergeben und besonders relevante Gebiete wie Datenschutz, IT-Sicherheit oder auch Schutz von Geschäftsgeheimnissen umfassen. Diese Inhalte werden dann sinnvollerweise durch Schulungen zusätzlich vermittelt, um im Rahmen dieser Trainings auch noch individuelle Risikoszenarien deutlicher zu beleuchten und gezielt Verhaltensempfehlungen zu geben.

Internes Kontrollsystem (IKS) und Risikomanagementsystem (RMS)

Bereits vorhandene Ablaufbeschreibungen, das interne Kontrollsystem (IKS) sowie das Risikomanagementsystem (RMS) müssen auf die neue Situation angepasst werden. Auf diese Art und Weise wird das Homeoffice ein fester und geregelter Bestandteil im Unternehmen. Zum Beispiel können hier bereits bestehende Regelungen für Mitarbeiter im Bereich Außendienst mit aufgenommen werden.

Mit diesen Änderungen und Ergänzungen bei bestehenden und neuen schriftlichen Arbeitsanweisungen und Verhaltenskodexen muss den Mitarbeitern aber auch eine technische Ausstattung (Tablets, Notebooks, PC, USB, Smartphone) gestellt werden, um die Arbeiten zu Hause in einem möglichst geschützten Umfeld vornehmen zu können.

Mit einer so erfolgenden Integration in die Management Systeme vermeidet die Unternehmensleitung auch den Vorwurf des Organisationsverschuldens, der sich ergeben könnte, wenn durch Fehlverhalten von Mitarbeitern in Ermangelung von Verhaltensanweisungen Schadensfälle eintreten.

Ausblick

Betrachtet man eine der ersten, aktuellen Studien in Deutschland aus dem Jahr 2020, die sich mit Homeoffice in Zeiten der Pandemie auseinandersetzt, ist im Hinblick auf die Zukunft der Thematik Homeoffice im Unternehmen die Kernaussage zu treffen: Auch nach der Corona-Krise werden Unternehmen verstärkt auf Homeoffice-Arbeitsplätze setzen!

Für ¾ der Befragten Teilnehmer (74%) wird sich nach der Pandemie und der Corona-Krise die Option Homeoffice durchsetzen. Sehr viele Unternehmen, die Anfang 2020 gezwungenermaßen Mitarbeiter in das Homeoffice entsenden mussten, sehen genau diese Option perspektivisch als die grundlegende und zukunftsorientierte interne Veränderung im Unternehmen. Wenn noch nicht geschehen, so ist es jetzt an der Zeit, Grundlagen und Vorsausetzungen zu schaffen, ob nun im IT-Bereich, im Hinblick auf arbeitsrechtliche Vorgaben für die Mitarbeiter oder im Segment Compliance, um strukturelle Änderungen perspektivisch vorzubereiten und durchzusetzen.

Den Homeoffice-Arbeitsplätzen und Cloud-Anwendungen wird die Zukunft gehören, und dies gilt ausdrücklich nicht nur für Großunternehmen, sondern gleichermaßen für Klein- und mittelständische Unternehmen.

Epilog:

»Die Zukunft kommt nicht – sie wird von uns gemacht! Die Frage ist nicht: Wie werden wir leben? Sondern: Wie wollen wir leben?«
Richard David Precht (* 8. Dezember 1964), deutscher Philosoph, Schriftsteller, Publizist und Moderator aus seinem Buch „Jäger, Hirten, Kritiker“ / 2020

Quellenangaben:

Studie: Cybercrime – Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie – Bundeskriminalamt / 2020
Studie: Studying How Cybercriminals Prey on the COVID-19 Pandemic / Unit 42 / 2020
Studie: Corona macht Homeoffice massentauglich / Bitkom Research / 2020
Ergänzungen: Rosalie Aigner – Referentin für Datenschutz und Informationssicherheit (Lufthansa CityLine)

Compliance-Ausbildung im WIRTSCHAFTScampus

Auch in der Zeit von Corona sind unsere Compliance-Weiterbildungen für alle unsere Teilnehmer gesichert. Nutzen Sie mit dem WIRTSCHAFTScampus die Möglichkeit zur zertifizierten Ausbildung im Bereich Compliance Management. Der WIRTSCHAFTScampus bietet die aufeinander abgestimmten Fernlehrgänge im Bereich Compliance Management an:

Certified Compliance Officer
Certified Chief Compliance Officer
Tax Compliance Officer
IT Compliance Officer

Compliance und Weihnachten 2019

Prolog:

„Wenn es heißt, ein Mensch sei unbestechlich, frage ich mich unwillkürlich, ob man ihm genug geboten hat.“
Joseph Fouché (1759 – 1820), Herzog von Otranto, französischer Politiker

Alle Jahre wieder: Compliance und Geschenke

Ein Thema, welches nichts an Aktualität und Präsenz verloren hat. Auch in diesem Jahr ist wieder Weihnachten und daher möchten wir auch unseren früheren Blogbeitrag zum Thema Compliance und Geschenke aktualisieren. Weiterführende Informationen zu dieser Thematik finden Sie natürlich etwas weiter unten in unseren Beiträgen aus den Jahren 2018 und 2017.

Damit ein Unternehmen bei der Entscheidung, wer Geschenke zum Weihnachtsfest (oder ausdrücklich zu einer anderen Gelegenheit wie Geburtstag oder Jubiläum) erhält, keine Fehler macht, und welche Gefahren in Bezug auf Compliance und Geschenke lauern, sollte man sich im ersten Schritt immer über die Compliance-Richtlinien des anderen Unternehmens informieren. Sollten diese nicht frei zugänglich sein, zum Beispiel über einen Download über die Unternehmens-Webseite, sollten diese unbedingt angefordert werden.

Weiterhin sollten die nachfolgenden „Regeln“ unbedingt beachtet werden, um Gefährdungen gegen das eigene Unternehmen auszuschließen:

  • Erwecken Sie niemals auch nur den Verdacht auf Bestechung. Eine Bestechlichkeit im Geschäftsverkehr ist nach § 299 Strafgesetzbuch (StGB) strafbar.
  • Geschenke über 35,00 € netto bedeuten einen geldwerten Vorteil für den Beschenkten und müssen zwingend offengelegt und versteuert werden. Diese Grenze sollte auf jeden Fall nicht überschritten werden. Sollte es interne Gründe geben, dass diese Grenze überschritten werden soll, können Unternehmen selbst die Versteuerung der Geschenke übernehmen. Geschieht dies, entfällt die Besteuerung bei demjenigen, der das Geschenk erhält.
  • Auch bei den sogenannten (geringwertigen) Werbegeschenken sollte man als Unternehmen eine nachvollziehbare monetäre Grenze setzen. Momentan gibt es in Deutschland zwar keine gesetzlich festgelegte Wertobergrenze für Werbe- und Streuartikel, doch auch hier sollte ein finanzieller Rahmen von maximal 50,00 € eingehalten werden, um sich nicht angreifbar zu machen.
  • Im Hinblick auf Geschenke für Mitarbeiter im öffentlichen Dienst ist besondere Vorsicht geboten. Beamte dürfen in der Regel gar keine Geschenke annehmen (§§ 331 ff. StGB). Gleiches gilt für Mitarbeiter aus dem Banken- und Finanzsektor oder dem Gesundheitswesen.
  • Bei dem Versand von Weihnachtsgeschenken sollte ausdrücklich immer und grundsätzlich die Adresse des Unternehmens und in keinem Fall eine Privatadresse verwendet werden. Der Verdacht, dass Dritte nichts von diesem Geschenk erfahren sollen, liegt sonst sehr nahe.
  • Selbstverständlich darf an das (Weihnachts-) Geschenk niemals eine Gegenleistung geknüpft sein, welche zum Beispiel im Zusammenhang mit einem Geschäftsabschluss stehen könnte. Ansonsten besteht hier sehr schnell die Gefahr des Verdachts auf Korruption, unzulässiger Einflussnahme oder Bestechung.

Beispiel Bestechung

Dass es sich im Hinblick auf Geschenke, die den Verdacht oder Tatbestand einer Bestechung erfüllen, nicht um ein marginales Verbrechen handelt, zeigt hier schnell der Blick in das Gesetzbuch. Im § 299 des Strafgesetzbuches ist eindeutig definiert:

     Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer im geschäftlichen Verkehr als Angestellter oder Beauftragter eines Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen einen anderen im inländischen oder ausländischen Wettbewerb in unlauterer Weise bevorzuge […]

Es gilt also Vorsicht bei der Auswahl und dem Verwendungszweck von Geschenken, sei es zu Weihnachten oder zu anderen Anlässen wie Jubiläen, Vertragsunterzeichnung oder Geburtstagen.

Können Geschenke von der Steuer abgesetzt werden?

Ein wichtiger Aspekt im Hinblick auf Weihnachtsgeschenke oder Präsente sind zu entrichtende Steuern an das Finanzamt. Grundsätzlich können Unternehmen die Kosten für Geschenke steuerlich geltend machen. Hier gilt es aber, die nachfolgenden Regularien dringend intern zu beachten:

Bei dem Präsent muss es sich um ein abzugsfähiges Geschenk handeln. Diese juristische Definition heißt, dass ein Geschenk an Kunden nur dann abzugsfähig ist, wenn es sich tatsächlich um ein Kundenpräsent im eigentlichen Sinne handelt. In der Praxis heiß dies: Das Geschenk muss aus ausdrücklich betrieblichen Gründen gemacht werden und darf niemals an eine Gegenleistung geknüpft sein. Wird das Geschenk, zum Beispiel zu Weihnachten, dafür verwendet, eine Geschäftsbeziehung aufzubauen, zu verlängern oder zu verbessern bzw. sich für eine gute Zusammenarbeit über das gesamte Geschäftsjahr zu bedanken, kann es in der Regel steuerlich abgesetzt werden.

Auch die Art des Kundengeschenks ist ein wesentlicher Faktor im Hinblick auf die steuerliche Anerkennung. Handelt es sich hier um typische Geschenke wie Blumen, Gutscheine, eine Flasche Wein oder Esswaren wie Schokolade oder Lebkuchen, so sind diese als unproblematisch für eine steuerliche Anerkennung zu bezeichnen. Rabatte sind nicht als Kundengeschenk absetzbar, da diese an einen Kauf geknüpft sind. Ebenso können Warenproben nicht als Präsente bei der Steuer geltend gemacht werden.

Wieviel darf es denn kosten?

Der Wert des steuerlich abzusetzenden Geschenks darf den Betrag von 35 Euro pro Jahr nicht überschreiten, da es ansonsten nicht möglich ist, dies als Betriebsausgaben zu verbuchen. Hier handelt es sich um eine sogenannte Freigrenze. Wenn diese überschritten wird, ist der gesamte Betrag nicht mehr als Betriebsausgaben buchbar. Für vorzugsabzugsberechtigte Personen handelt es sich um eine Nettogrenze.

Eine Dokumentation der Adresse, wie oben beschrieben, bzw. einer Aufstellung, welches Geschenk welcher Geschäftspartner erhalten hat, ist Pflicht. Sollte es hier Nachfragen durch das Finanzamt im Hinblick auf die Betriebsausgaben geben, so kann durch diese Angaben zweifelsfrei dargestellt werden, welche Ausgaben in welchem Zusammenhang stehen.

Wenn doch hochpreisige Geschenke gemacht werden, müssen Unternehmen daran denken, diese selbst zu besteuern. Als Grundlage gilt hier § 37 des Einkommensteuergesetzes mit einem pauschalen Steuersatz von 30 Prozent plus Solidaritätszuschlag und Kirchensteuer. § 37 des Einkommensteuergesetzes definiert hier:

    Steuerpflichtige können die Einkommensteuer einheitlich für alle innerhalb eines Wirtschaftsjahres gewährten betrieblich veranlassten Zuwendungen, die zusätzlich zur ohnehin vereinbarten Leistung oder Gegenleistung erbracht werden, und Geschenke im Sinne des § 4 Absatz 5 Satz 1 Nummer 1, die nicht in Geld bestehen, mit einem Pauschsteuersatz von 30 Prozent erheben.

Berücksichtigt das Unternehmen dies nicht, so muss der Empfänger des Kundengeschenks bei einer Prüfung durch das Finanzamt die Steuern nach seinem persönlichen Einkommenssteuersatz zahlen.

Berücksichtigen Sie diese Punkte und Regularien bei Geschenken im Hinblick auf das kommende Weihnachtsfest zusammen mit unserem ausführlichen Blogbeitrag aus dem Jahr 2018, so gibt es keinen Grund, Mitarbeitern oder Geschäftspartnern keine Freude für das kommende Weihnachtsfest 2019 zu bereiten.

Ankündigung: Die IT-Compliance Officer – Ausbildung in 2020

Ab dem Jahr 2020 wird der WIRTSCHAFTScampus als neuen Fernlehrgang die Ausbildung zum Certified IT Compliance Officer anbieten.

Der Certified IT Compliance Officer hat die Aufgabe, das Unternehmen vor allen wirtschaftlichen Schäden zu schützen, welche sich im thematischen Umfeld der IT aus Rechtsverletzungen ergeben. Seine Aufgabe ist es, das Unternehmen insbesondere vor Strafen, Buß- und Zwangsgeldern, Schadensersatzansprüchen und erhöhten Steuerzahlungen bei Verstößen gegen die Steuergesetze oder vor Schätzungen durch das Finanzamt zu bewahren.

Die Tätigkeit des Certified IT Compliance Officers und dessen Integration in die bestehende Compliance-Struktur des Unternehmens beinhaltet aber nicht nur reine Präventionsmaßnahmen, sondern führt auch zu nachhaltigen Vorteilen im Unternehmen:

  • Gesteigerte Effizienz und Qualität von IT-Prozessen
  • Gesteigerte Sicherheit bei IT-Prozessen
  • Einsparung von Kosten, zum Beispiel durch Automatisierung
  • Steigerung des Unternehmenswertes, zum Beispiel durch Risikovermeidung

Das Fernstudium zum Certified IT Compliance Officer ist ab sofort buchbar.

Compliance und Automobilhersteller


Prolog:
„Klar ist: Volkswagen duldet keine Regel- oder Gesetzesverstöße jedweder Art.“
Der damalige VW-Chef Martin Winterkorn nach Bekanntwerden der Abgasmanipulationen in den USA am 20. September 2015.

Compliance-Berichte deutscher Automobilhersteller in den Jahresabschlüssen 2018

Im Folgenden werden die Compliance-Berichte der drei Automobilhersteller BMW, Daimler und VW analysiert. Der Umfang der Berichte bewegt sich zwischen drei (Daimler) und vier Seiten (BMW und VW). Allerding fügt Daimler noch eine Erweiterung über Antikorruption-, Antitrust-, Technical-, Daten-, Anti Financial Crime- und Menschenrechts-Compliance an. Diese Spezialteile bleiben bei dieser Analyse außen vor. Der Dieselskandal ist noch nicht ausgestanden; die Feinstaub-Debatte ebenso wie die Diskussion um das Dieselfahrverbot geht weiter. Dennoch findet man dazu nur im Compliance-Bericht von VW einen Hinweis unter der Bezeichnung „Dieselthematik“, die zu einem erheblichen Vertrauensverlust beigetragen habe. Die Compliance-Organisation der Hersteller wurde – vielleicht unter dem Einfluss des Dieselskandals – in der Zwischenzeit neugestaltet.

Alle Berichte beginnen mit einem Bekenntnis zur Compliance.

„Unser Anspruch ist es, dass weltweit alle Mitarbeiterinnen und Mitarbeiter ihre Aufgaben stets im Einklang mit den gültigen Gesetzen, Regeln, freiwilligen Selbstverpflichtungen und unseren Werten erfüllen (Quelle 1).

An späterer Stelle wird bei VW dazu ausgeführt, dass kriminelle Handlungen Einzelner niemals vollständig verhindert werden können. Das ist eigentlich selbstverständlich. Es ist aber die Frage, ob kriminelle Handlungen mehrerer Personen auch nicht zu verhindern sind.

Organisatorische Einbindung von Compliance

Der Anspruch auf Compliance wird durch eine entsprechende organisatorische Gestaltung gestützt. So hat VW seit April 2017 den eigenen Bereich Group Compliance gebildet, der eine direkte Berichtslinie an den Vorstand für Integration und Recht besitzt und zudem an den Prüfungsausschuss des Aufsichtsrats berichtet (Quelle 2). Die Compliance-Organisation umfasst divisionale und regionale Compliance-Büros. Zudem wurde das Group Compliance Committee unter dem Vorsitz des Vorstands für Integrität und Recht gegründet. Angaben zum Umfang des Committees enthält der Bericht nicht. BMW hat ebenfalls vor mehreren Jahren ein Compliance Committee eingerichtet und die Einführung eines Compliance Management-Systems in die BMW Group veranlasst.

Das Committee setzt sich zusammen aus den Leitern der Bereiche Recht und Patente, Konzernkommunikation und Politik, Konzernrevision, Konzernberichtswesen, Organisationsentwicklung sowie Konzernpersonalwesen. (Quelle 3). Damit sind alle relevanten Bereiche in diesem Committee vertreten. Das Compliance Committee berichtet regelmäßig an den Vorstand und an den Prüfungsausschuss des Aufsichtsrats. Das Group Compliance Committee Office ist mit 14 Personen besetzt. Im Jahr 2017 wurde die Einrichtung von 72 lokalen Compliance-Funktionen abgeschlossen, das mit einem Netzwerk von 210 Compliance-Verantwortlichen verbunden ist.

Die Compliance-Organisation von Daimler ist divisional und regional aufgestellt. Für die Unterstützung der Geschäftsfelder steht jeweils ein funktionaler, divisionaler oder regionaler Ansprechpartner zur Verfügung. Die Compliance-Verantwortlichen aus diesen Bereichen berichten an den Chief Compliance Officer, wodurch die Unabhängigkeit von den Geschäftsfeldern gesichert werden soll. Der Chief Compliance Officer berichtet direkt an das Vorstandsmitglied für Integrität und Recht sowie an den Prüfungsausschuss des Aufsichtsrats. Regelmäßig wird der Vorstand der Daimler AG über den Status des CMS und dessen Weiterentwicklung informiert. Die Anzahl der beschäftigten Mitarbeiter im Compliance-Bereich wird nicht genannt.

Mit der Bezeichnung Integration und Recht für das Vorstandsressort wird deutlich, dass nicht nur die Durchsetzung der Compliance mit Sanktionen betrieben werden soll, sondern die Integrität der Mitarbeiter ebenfalls im Fokus steht. Compliance wird von der organisatorischen Einbindung hohe Bedeutung zugemessen, was durch die Berichtslinie an den Vorstand und den Prüfungsausschuss des Aufsichtsrats zum Ausdruck kommt.

Training der Mitarbeiter

Im Nachfolgenden werden die Bestandteile des Compliance Management-Systems beschrieben, das mehr oder weniger nach dem PS 980 oder dem ISO 19600 behandelt wird. Die Aussagen sind dazu unterschiedlich konkret. So betont VW, dass 2017 219.000 Beschäftigte in unterschiedlichen Formaten zu Compliance-Themen geschult wurden. Daneben erfolgten zielgruppenspezifische Schulungen. Innerhalb einer Volkswagen Convention „Integrität, Kultur und Compliance“ wurden 7.300 Mitarbeiter- und Führungskräfte mit dem Veränderungsprozess bei Volkswagen vertraut gemacht.

Bei BMW wurden weltweit über 41.000 Führungskräfte und Mitarbeiter über die Grundlagen von Compliance geschult. Das Training enthält einen Abschlusstest. Die erfolgreiche Teilnahme an dem Training wird durch ein Zertifikat bescheinigt, dass für alle Führungskräfte von VW verpflichtend ist. Bei Neueinstellungen und Beförderungen von Führungskräften ist das Compliance Training Standard. Daneben werden zielgruppenspezifische Trainingsmaßnahmen zu bestimmten Themen, wie Kartellrechts-Compliance durchgeführt. Seit 2011 wurden insgesamt 24.000 Führungskräfte und Mitarbeiter durch Online-Schulungen mit diesen Themen vertraut gemacht. Präsenzschulungen erfolgten 2017 für insgesamt 1.900 Führungskräfte und Mitarbeiter, die an Austauschtreffen mit Wettbewerbern teilnehmen. Spezielle Compliance Market Coachings waren Gegenstand bei internationalen Vertriebs- und Finanzpartnern.

Bei Daimler steht ein webbasiertes zielgruppenorientiertes Trainingsprogramm zur Verfügung, das modular aufgebaut ist und neben einem Basisprogramm auch ein spezifisches Model für Führungskräfte enthält. Die relevanten Module sind bei der Einstellung, Beförderung oder bei einem Wechsel zu absolvieren. Regulär muss das Programm alle drei Jahre absolviert werden. Ergänzt wird das Trainingsangebot durch Präsenzschulungen. 2018 gab es bei Präsenz- und webbasierten Trainings insgesamt rund 220.000 Teilnehmer. Angeboten werden darüber hinaus zielgruppenspezifische Qualifizierungsmaßnahmen. Alle neuen Mitarbeiter erhalten eine umfassende Einführung im Rahmen des Einführungs-Programms.

Die umfangreiche Schilderung der Schulungsmaßnahmen bei allen drei Unternehmen zeigt die Bedeutung auf, die diese Unternehmen der Schulung der Mitarbeiter hinsichtlich Compliance beimessen. Damit möchte man wohl auch dem Vorwurf entgegentreten, es werde nicht genug getan, um wirtschaftskriminelles Verhalten zu unterbinden. Allerdings sagt die Schulung nichts über den Erfolg der Schulungsmaßnahme aus. Hier müsste ein Absinken doloser Handlungen durch Führungskräfte und Mitarbeiter festzustellen sein. VW verfolgt eine Compliance-Kennzahl „Regeleinhaltung, Prozesssicherheit und Fehlerkultur“.

Die Kennzahl basiert auf der Auswertung von Antworten zu Fragen bezüglich des Stimmungsbarometers zur Einhaltung von Regelungen und Prozessen. Diese Kennzahl verbesserte sich 2017 auf 79,67 % zu 79,03 % in 2016. Ob damit eine deutliche Verbesserung eingetreten ist, kann aus den Zahlen für die Jahre 2016 und 2017 nicht abgeleitet werden.

Hinweisgebersystem

Dem Hinweisgebersystem wird bei allen drei Unternehmen besondere Aufmerksamkeit geschenkt. Bei Daimler ermöglicht das Hinweisgebersystem weltweit Beschäftigten und externen Hinweisgebern, Regelverstöße zu melden. Mit einer weltweit gültigen Konzernrichtlinie wird das Ziel verfolgt, eine faire und transparente Vorgehensweise zu ermöglichen, die sowohl den Grundsatz der Verhältnismäßigkeit für den Betroffenen als auch den Schutz des Hinweisgebers berücksichtigt. In 2018 wurden 89 Fälle neu angelegt und 101 Fälle geschlossen, davon 60 als zutreffend. Die wirtschaftskriminellen Handlungen bestanden in Korruption, Diebstahl, Untreue und Bereicherungsdelikten sowie Schadensfällen über 100.000 €.

Bei BMW wird den Mitarbeitern – offensichtlich nicht externen – die Möglichkeit gegeben, Hinweise auf mögliche Rechtsverstöße im Unternehmen anonym und vertraulich abzugeben. Diese Telefon-Line ist in sämtlichen Ländern, in denen BMW Mitarbeiter tätig sind über lokale kostenfreie Rufnummern in 34 Sprachen zu erreichen. Die Anfragen und Hinweise werden vom Compliance Committee Office dokumentiert und bearbeitet. Nähere Angaben zu Art und Umfang der Fälle finden sich hier nicht.

VW versteht unter einem Hinweisgebersystem sowohl die internen als auch die externen Anlaufstellen, bei denen Mitarbeiter und Externe Hinweise zu potenziellen schweren Verstößen melden können. Dieses Hinweisgebersystem wurde bereits 2006 bei VW eingeführt und im Jahr 2017 verbessert und teilweise neu geordnet. Zum 1. November 2017 erfolgte nochmals eine Optimierung des Verfahrens, um Hinweisen schneller, fairer und transparenter nachgehen zu können. Durch die Neugestaltung des Hinweisgebersystems 2017 wurde eine konzerneinheitliche Handhabung erreicht. Konzernweit wurden 2017 1.489 Hinweise registriert. Weiterhin heißt es dazu lapidar, dass bei allen substantiierten Hinweisen Untersuchungen durchgeführt werden und festgestelltes Fehlverhalten sanktioniert wird.

Fasst man diese drei Bestandteile nochmals zusammen, dann wird die Bedeutung von Compliance durch die organisatorische Einbettung unterstrichen. Zudem werden alle Mitarbeiter regelmäßig hinsichtlich Compliance geschult. Durch das konzernweite Hinweisgebersysteme hat jeder Mitarbeiter die Möglichkeit Auffälligkeiten oder Fehlverhalten zu melden. Wie konnte es dann zum „Dieselskandal“ kommen, wenn unterstellt wird, es handele sich nicht nur um das Fehlverhalten einer einzigen Person, was nicht aufrechterhalten werden kann. Mehrere Personen waren beteiligt und keiner hat einen Hinweis auf das Fehlverhalten gegeben. Deshalb die Frage, ob die Mitarbeiter insgesamt so „mutig“ sind, eine Meldung über Fehlverhalten abzugeben, und ob im Konzern wirklich ein Interesse daran besteht, dass eine Vielzahl von Meldungen über das Hinweisgebersystem eingehen.

Couragiertes Handeln von Whistleblowern

Das Geben von Hinweisen ist mit Risiken verbunden. Whistleblower sind bereit, moralische Verantwortung für die Gesellschaft zu übernehmen und setzen sich der Gefahr von Repressalien aus. Damit ist eine besondere Form von Mut gefordert, weil existenzielle Risiken und Abhängigkeiten die Folge sein können. Es erfordert schon ein gerütteltes Maß an Zivilcourage, eine Meldung abzugeben, die nicht unmittelbar auf das Wohlwollen der Empfänger trifft. Sieben Konfliktlagen sind dafür verantwortlich, dass ein Mitarbeiter zum Whistleblower wird:

• Der Arbeitgeber erwartet vom Arbeitnehmer, dass er gegen berufliche Standards verstößt, z.B. im Interesse von Auftraggebern.
• Nach einem Schadensfall sollen Informationen gegenüber Behörden, Untersuchungsgremien oder der Öffentlichkeit verschwiegen werden.
• Wichtige Dokumente werden unterdrückt.
• Innerbetriebliche Missstände werden vom Arbeitgeber nicht abgestellt.
• Praktiken des Unternehmens verstoßen gegen das nationale Recht.
• Internationale Abkommen oder Gesetze werden verletzt.
• Die unternehmerische Tätigkeit birgt erhebliche Gefahren gegen die Natur oder/und die Gesundheit der Menschen. (Quelle 4).

Für den Hinweisgeber entsteht nun ein Prozess der Abwägung zwischen seiner Loyalität zum Unternehmen und seiner ethischen Verantwortung. Whistleblower wollen Schäden ihrer Arbeitswelt abwenden und nehmen dafür persönliche Nachteile in Kauf. Nach einer Befragung in USA litten 77,1 % dauerhaft an Schlafstörungen, 80,7 % unter Angstzuständen, 25,6 % konsumierten häufiger Alkohol und bekamen Morddrohungen (Quelle 5). Es gibt wenige prominente Fälle, in denen der Whistleblower für sein couragiertes Verhalten ausgezeichnet wurde, weil er mutig gegen übermächtige Konzerne angetreten ist. Daneben steht die große Zahl anonym gebliebener Fälle, die immer noch auf Gerechtigkeit und Rehabilitierung warten.

Couragiertes Verhalten ist abhängig von einer Reihe handlungsleitender Einflüsse auf das Individuum. Hier kann zwischen den situativen Faktoren und den personalen Faktoren unterschieden werden. Zu den situativen Faktoren zählt das Ereignis selbst: Ist die Verletzung der Norm eindeutig und überschaubar, und welche Risiken sind mit dem illegalen Verhalten verbunden. Wichtig ist zudem die Unterstützung, die der Whistleblower über das Betriebsklima, sowie die Zustimmung und Förderung erwarten kann. Betrachtet man die personalen Faktoren, so zählt dazu das Selbstvertrauen und das Vertrauen zu anderen. Hinzu kommt die Überzeugung, etwas bewirken zu können. Entscheidend ist aber die moralische Urteilsfähigkeit des Individuums.

Organisatorische Situationen können dazu führen, dass das Individuum entmutigt wird und zum vertrauten Weg zurückkehrt, weil Bestrafung droht oder die Person benachteiligt wird. In diesen Fällen folgen die Individuen nicht mehr ihrem moralischen Kompass (Quelle 6).

Hinweisgeber sind dann wohl gelitten, wenn sie wirtschaftskriminelles Handeln von Kollegen und Mitarbeitern aufdecken. Geht es um Top Management Fraud wird ein Übermaß an couragiertem Handeln verlangt, wenn der Whistleblower die für ihn möglichen negativen Folgen bedenkt. Eine Lösung des Problems zeichnet sich hier nicht ab. Von den Überwachungsinstitutionen Aufsichtsrat, Abschlussprüfer und Interne Revision ist ein hohes Maß an intensiver Beschäftigung mit den sensiblen Vorgängen zu verlangen.

Die Compliance-Organisation sollte dafür Sorge tragen, dass auch die Unternehmensführung in ihr Betätigungsfeld einbezogen wird. Letztendlich wird immer an das ethische Verhalten der beteiligten Personen appelliert.

Quellenangaben:

Quelle 1: Vgl. Daimler: Geschäftsbericht Nichtfinanzieller Bericht, S. 217.
Quelle 2: Vgl. VW: Geschäftsbericht Corporate Governance-Bericht, S. 63.
Quelle 3: Vgl. BMW: Geschäftsbericht Compliance in der BMW Group S. 216.
Quelle 4: Vgl. Deiseroth: Zivilcourage am Arbeitsplatz – Rechtliche Rahmenbedingungen, in: Reinhold/Löhr/Blickie: Wirtschaftsbürger oder Marktopfer? München und Mering 2001, S. 108ff.
Quelle 5: Vgl. Prätorius: Zur politischen Kultur von Loyalitätskonflikten am Beispiel der “Whistleblower”; in: Korenke: Politische Deutungskulturen, Baden-Baden 1999, S. 115.
Quelle 6: Vgl. Comer/Vega: The Personal Ethical Treshold; in Comer/Vega: Moral Courage in Organizations – Doing the Right Thing at Work, New York 2011, S. 27.

Weiterbildung Compliance

Starten Sie jetzt mit der Ausbildung zum Chief Compliance Officer oder Tax Compliance Officer!

Nutzen Sie mit dem WIRTSCHAFTScampus die Möglichkeit zur zertifizierten Ausbildung im Bereich Compliance Management und schützen Sie sich selbst oder ihr Unternehmen mit der persönlichen Teilnahme oder der Anmeldung eines ihrer Mitarbeiter bei unserer Compliance-Weiterbildung. Der WIRTSCHAFTScampus bietet die beiden aufeinander aufbauenden Fernstudium im Bereich Compliance Management an:

Certified Compliance Officer: Die Inhalte des Fernstudiums Certified Compliance Officer beinhalten u.a. Innerbetriebliches Kontrollsystem (IKS), Risikomanagementsystem (RMS), Ethik-Kodex, Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen IDW PS 980, ISO 19600 – Richtlinien für ein Compliance Management System, ISO 37001 – Standard zur Antikorruption.

Certified Chief Compliance Officer: Die Inhalte des Fernstudiums Certified Chief Compliance Officer beinhalten u.a. Compliance von Lieferanten und Kunden, Compliance und M&A, Compliance und IT, Compliance auf Führungsebene, Haftung der Geschäftsführung, Arbeitsrecht und Compliance, Kartell- und Wettbewerbsrecht, Geldwäsche, ISO 19600.

Weiterhin ist die Ausbildung zum Certified Tax Compliance Officer jederzeit möglich.

Compliance und Ethik-Leitlinien

Prolog:

Es war einmal ein Mädchen, dem wurde eindeutig eine rote Kappe zugeordnet, wodurch es als Rotkäppchen definiert wurde. „Kind“, argumentierte die Mutter, „werde kreativ, mathematisiere die kürzeste Verbindung zur Großmutter, analysiere aber nicht die Blumen am Wege, sondern formuliere deinen Weg in systematischer Ordnung.“
Friedrich Wille (* 5. Januar 1935; † 9. August 1992), deutscher Mathematiker und Professor an der Universität Kassel.

Die ethischen KI-Leitlinien der europäischen Union (EU)

Bereits im Oktober 2018 haben wir hier in unserem Blog mit dem Beitrag Compliance und Maschinenwesen (RPA) ausführlich über die neuen Möglichkeiten und Gefahren von Robotern und künstlicher Intelligenz (KI) berichtet.

Aus aktuellem Grund möchten wir diesen Beitrag ergänzen, da die europäische Union (EU) ein 52-köpfiges internationales Expertenteam beauftragt hat, zum ersten Mal ethische Leitlinien im Hinblick auf KI und Compliance zu erstellen. Am 8. April 2019 wurden nun diese Leitlinien durch die EU veröffentlicht. Zu den Grundinhalten dieser ethischen Leitlinien gehören:

  • Vorrang menschlichen Handelns und menschlicher Aufsicht
  • Robustheit und Sicherheit
  • Privatsphäre und Datenqualitätsmanagement
  • Transparenz
  • Vielfalt, Nichtdiskriminierung und Fairness
  • gesellschaftliches und ökologisches Wohlergehen
  • Rechenschaftspflicht

Bevor wir nun hier in unserem Compliance Blog diese Leitlinien veröffentlichen, ein kurzer Einstieg in die Thematik. Ausführlich wird das Thema etwas weiter unten in unserem Blog-Beitrag beschrieben.

Künstliche Intelligenz (KI) – Ein alter Hut

Ist Künstliche Intelligenz eine innovative und neue Thematik unserer Zeit? Sicher nicht! Der Begriff selbst wurde bereits im Jahr 1955 erstmals von John McCarthy erwähnt und definiert. Für McCarthy bestand das Ziel von KI darin, „Maschinen zu entwickeln, die sich verhalten, als verfügten sie über Intelligenz.“ Einige Jahre später erfand der Wissenschaftler den legendären LISP-Computer, der Programme schrieb, die sich selbst verändern konnten. Bereits hier zeigt sich eine der grundlegenden und typischen Eigenschaften von KI-Algorithmen.

Die Programmiersprache LISP (englisch List Processing / deutsch Listen-Verarbeitung) gilt nach Fortran (IBM / 1953) als zweitälteste Programmiersprache der Welt, die bis heute noch verbreitet und genutzt wird.

Was bedeutet KI?

Die Künstliche Intelligenz (KI) bietet schon jetzt Unternehmen aus vielen Branchen extrem hohe Möglichkeiten und Chancen. Nimmt man als Ansatz die Wechselwirkung zwischen dem unternehmerischen Risiko und den gesetzten Zielen, sieht man schnell, welchen Beitrag Künstliche Intelligenz für Compliance, Governance and Risk Aktivitäten für das Unternehmen erzielen kann.

Laut einer aktuellen Studie aus dem Jahr 2019 sehen 500 Unternehmen in Deutschland den Einsatz von KI in den Segmenten:

  • Datenanalyse für Entscheidungsprozesse (70%)
  • Prozessautomatisierung bestehender Geschäftsprozesse (63%)
  • Chatbots (47%)
  • wesentlicher Bestandteil neuer digitaler Geschäftsmodelle (44%)
  • Speech Processing (42%)
  • Bestandteil von Produkten und Dienstleistungen (39%)

Betrachtet man nur die beiden erst genannten Einsatzmöglichkeiten von KI, welche für ein Unternehmen bereits jetzt oder in der nahen Zukunft an Wichtigkeit gewinnen werden, so erkennt man schnell, wie sehr sich die KI in das Aufgabenumfeld eines Compliance Officers integrieren wird. Kontrolliert momentan der Mensch noch die Daten für Entscheidungen oder ist ein Mensch maßgeblich in die laufenden Geschäfts- und Entscheidungsprozesse eingebunden und verantwortlich, so wird in der Zukunft die KI immer mehr in diese internen Abläufe eingreifen. Genau hier definieren sich neue Risiken im Unternehmen und neue Aufgabenbereiche der Compliance.

Neue Aufgabenbereiche und Risiken

Darüber hinaus verändert der Einsatz von KI und Robotern in der Produktion oder Chatbots im Unternehmen auch die Risikoszenarien. Der Arbeitsschutz und die Arbeitszeiten spielen bei einem KI-gestützten Roboter natürlich keine Rolle, auch die Frage der Korruption stellt sich bei einem KI-gestützten Algorithmus nicht. Der Umkehrschluss ist, dass sich demzufolge neue Fragen und Aufgabenbereiche zu Compliance, Governance and Risk Aktivitäten im Unternehmen der Zukunft stellen:

  • Ist die Software oder der Roboter extern manipulierbar?
  • Sind die Quellcodes nicht einsehbar und geschützt?
  • Wie schützt man sich gegen Hackerangriffe?
  • Sind die Veränderungen durch KI nachvollziehbar und transparent?
  • Wie kommuniziert das Unternehmen den Einsatz von KI?
  • Entspricht das gewünschte Ergebnis immer den rational optimierten Anwendungen von internen oder externen Ressourcen?
  • Was macht die Compliance-Abteilung, wenn Software falsch programmiert ist, also das Ergebnis oder die Handlung (Output) nicht dem geplanten, gewollten oder gewünschten Ergebnis entspricht?

Momentan bestehen die Aufgaben eines Compliance Officers in der Kontrolle und Analyse menschlichen Handelns zur Vermeidung von Risiken oder in der Aufdeckung und Abwehr von Gefahren, die intern oder extern das Unternehmen bedrohen. Ein logischer und unabdingbarer Schritt, zum Beispiel mit der Ausbildung und Integration eines IT-Compliance Officers, wird es sein, diesen Gefahren und Risiken in der Zukunft entgegen zu treten. Gleiches gilt selbstverständlich auch bei der Entwicklung neuer Produkte oder Unternehmensschwerpunkte. Hier müssen bereits bei der frühen Planung neue Risiko-Szenarien, ausdrücklich auch im Bereich der Compliance, in Verbindung mit den Möglichkeiten durch KI, mit einfließen und signifikant beachtet werden.

Was genau ist aber nun KI eigentlich?

Der Begriff der Künstlichen Intelligenz wird definiert als die Wissenschaft und Entwicklung intelligenter Maschinen und Computerprogramme zur Umsetzung unternehmerischer Anforderungen und Ziele. Explizit geht es um die Entwicklung und Realisation eines Computergehirns, welches wie ein Mensch denkt und agiert bzw. um Maschinen und Roboter, die nicht nur Handlungen, sondern im weiteren auch Entscheidungen übernehmen werden.

Intelligenz: Ich lerne, Du lernst, Wir lernen

Es steht außer Frage: KI ist bereits jetzt, obwohl in vielen Branchen noch im Anfangsstadium, nicht nur einer der wichtigsten technologischen Fortschritte unserer Zeit, sondern wird unausweichlich wegweisend für einen Großteil der gesamten Geschäftswelt in den kommenden Jahren sein. Ob nun im geschäftlichen oder privaten Bereich, wird man sich dieser Technologie nicht entziehen können.

Alles dies setzt eines zwingend voraus: Intelligenz.

Der Begriff Intelligenz leitet sich vom dem lateinischen Wort »intellegere« ab, was so viel wie »verstehen, erkennen, einsehen« bedeutet und damit bereits anhand dieser Übersetzung auf eine schnelle Auffassungsgabe in gleichermaßen vertrauten und ungewohnten Situationen verweist. Vereinfachend wird Intelligenz definiert als die Fähigkeit des Geistes, Zusammenhänge zu erkennen und Probleme zu lösen. Doch eine einzige, allgemeingültige Definition gibt es nicht.

Nach dem heute gängigen Drei-Schichten-Modell aus dem Jahr 1993 von John Bissell „Jack“ Carroll, einem US-amerikanischen pädagogischen Psychologen, Psycholinguisten und Intelligenzforscher, dürfen wir uns die menschliche Intelligenz wie ein Unternehmen im Gehirn vorstellen, in der es einen Vorstand (Generalfaktor), mehrere Abteilungen (Sekundärfaktoren) und bis zu 70 Arbeitsgruppen (Einzelfaktoren) gibt. Mit der Künstlichen Intelligenz setzt sich dieses Drei Schichten Modell fort, natürlich mit anderen – aber doch dem der menschlichen Intelligenz zumindest vergleichbaren – Faktoren.

Die Evolution der Künstlichen Intelligenz ist vergleichbar zu einem Schirm. Maschinelles Lernen und Deep Learning sind beide unter dem Schirm der Künstlichen Intelligenz angesiedelt und zwar genau in dieser Reihenfolge. Ohne Künstliche Intelligenz gäbe es kein Maschinelles Lernen. Und Deep Learning hat seinen Ursprung im Maschinellen Lernen. Trotzdem wäre es durchaus logisch, den Schirm einfach umzudrehen. Denn für Deep Learning sind nach oben keine Grenzen gesetzt.

Der Unterschied zwischen den drei Arten von Künstlicher Intelligenz und Lernen lässt sich einfach verstehen, wenn man diese mit vertrauten Prozessen des Trainings und der Ausbildung vergleicht.

  • Künstliche Intelligenz ähnelt dem Vorgang, einem Auszubildenden genau die Information zu vermitteln, die er lernen soll.
  • Maschinelle Intelligenz / Maschinelles Lernen ist vergleichbar mit einem Auszubildenden, dem man ein Buch in die Hand drückt, sodass er sich den Lernstoff selbst erarbeitet.
  • Deep Learning entspricht dem des Maschinellen Lernens. Der Unterschied ist aber, dass der Auszubildende in der Lage ist, aus seinen Fehlern zu lernen und sich kontinuierlich zu verbessern.

Im Fall von Künstlicher Intelligenz, Maschinellem Lernen und Deep Learning sind die Auszubildenden Maschinen und die Lehrbücher Daten. Bei der Künstlichen Intelligenz wird die Maschine mit einem endlosen Strom an Daten gefüttert. Beim Maschinellen Lernen und bei Deep Learning hingegen nutzt die Maschine externe Quellen wie das Internet oder Sensoren.

Stellt man die menschliche Intelligenz der Künstlichen Intelligenz gegenüber, wird ein grundlegender Aspekt schnell deutlich: War es schon immer fast unmöglich, menschliche Intelligenz klar und eindeutig zu definieren, so wird es spannend sein, ob dies jemals auch mit Künstlicher Intelligenz möglich sein wird. Fragt man heute 10 Forscher nach einer klaren Definition der menschlichen Intelligenz so erhält man im Zweifelsfall 10 unterschiedliche Definitionen. Wie will man dann, jetzt oder in 10 Jahren, Künstliche Intelligenz eindeutig definieren und wird es erforderlich sein, dann wieder neue (oder alt hergebrachte) Definitionen der menschlichen Intelligenz zu erforschen oder zu überdenken?

Die praxisbezogene Anwendung und der Einsatz von Künstlicher Intelligenz ist nun schon lange nicht mehr ein theoretischer Ausblick in die Zukunft, sondern wird bereits heute in der täglichen und praxisorientierten unternehmerischen Umgebung eingesetzt. Bereits jetzt können Softwarelösungen und Roboter lernen, selbst Aufgaben auszuführen und Entscheidungen zu treffen. Bestes Beispiel sind hier Applikationen, die bereits heute Entscheidungen im Bank- und Versicherungswesen treffen.

Ali Baba und die 40 Roboter

Bevor wir nun nachfolgend hier in diesem Beitrag die von der EU verabschiedeten ethischen Compliance-Richtlinien veröffentlichen, ein Praxisbeispiel, in welcher Richtung bzw. in welchem Umfeld und Kontext diese Leitlinien in der Zukunft Anwendung finden könnten.

Alibaba, in Europa vor allem als großer chinesischer E-Commerce-Anbieter bekannt, erhofft sich dank seiner eigenen und internen KI-Forschung und der Entwicklung eigener KI-Chips mehr Innovationen für sein Kerngeschäft. Was aber machen diese KI-Chips von Alibaba genau? Nun, schon hier beginnt eine mögliche (auch ethische) Gefahr und ein nicht abzuschätzendes Risiko, denn dies weiß nur und einzig das Unternehmen Alibaba selbst. Auch im Hinblick auf ethische Grenzen und mögliche Verletzungen gibt es hier keinerlei Hinweise oder Regelungen.

Eine installierte und bereits im normalen Geschäftsbetrieb laufende KI-Anwendung bei Alibaba vereinfacht die Arbeit der nationalen und internationalen Online-Händler auf der Plattform, indem es Texte und Inhalte von der KI allein und ohne menschliche Hilfe schreiben lässt. Die KI-Software kann pro Sekunde (!) 20.000 Zeilen Content produzieren. Händler können damit ihre Produktinformationen automatisch durch die KI generieren lassen, ohne dass ein Mensch diese Zeit investieren muss. Das Programm hat Millionen bereits vorhandener Inhalte auf den verschiedenen Alibaba-Plattformen analysiert und benutzt Deep-Learning-Modelle und Technologien zur Verarbeitung natürlicher Sprache, um Content zu produzieren.

Für die Nutzung des KI-Tools müssen Händler lediglich einen Link zu einer beliebigen Produktseite eingeben und können dann aus mehreren Beispielen die passende Vorlage auswählen. Alles weitere erstellt und geniert die KI selbst. Die Erstellung des Textes ist aber nur der erste Schritt der KI. Die Händler auf der Plattform können zum Beispiel auswählen, ob der Text ihrer Produktbeschreibung werblich, poetisch oder witzig klingen soll. Bereits heute nutzen nationale und internationale Unternehmen jedweder Branche und Größe auf den verschiedenen Alibaba-Handelsplattformen täglich das Tool und die KI im Schnitt fast eine Million Mal.

Alibaba bestätigt selbst, dass hierfür bereits bestehende Chips und Algorithmen aus externen Quellen genutzt werden und diese mit internen KI-Entwicklungen modifiziert werden. Einzig, das Ergebnis aus diesen Mutationen und die künstliche Weiterentwicklung wird wohl ein internes Geheimnis bleiben. Ob hier neben praxis- oder marketingorientierten Regelungen, auch ethische Grundsätze eine Rolle spielen, wird man wohl kaum erfahren.

Die Ethische Leitlinie der EU für KI und Compliance

Hier setzt die Überlegung der EU ein und es wurden durch eine internationale Kommission Ethische Leitlinien im Hinblick auf KI und Compliance entwickelt, die am 8. April 2019 veröffentlicht wurden.

In dieser Leitlinie verankert sind sieben Anforderungen, die nicht nur Vertrauen, sondern auch einen Kontrollmechanismus in und für KI schaffen sollen. Sie betreffen Anforderungen und Fragen nach der Kontrolle, der Sicherheit, dem Datenschutz, der Nichtdiskriminierung, der Nachhaltigkeit, der Verantwortlichkeit und der Transparenz der von KI genutzten Algorithmen.

Inhalte:

  1. Vorrang menschlichen Handelns und menschlicher Aufsicht: KI-Systeme sollten gerechten Gesellschaften dienen, indem sie das menschliche Handeln und die Wahrung der Grundrechte unterstützen; keinesfalls aber sollten sie die Autonomie der Menschen verringern, beschränken oder fehlleiten.
  2. Robustheit und Sicherheit: Eine vertrauenswürdige KI setzt Algorithmen voraus, die sicher, verlässlich und robust genug sind, um Fehler oder Unstimmigkeiten in allen Phasen des Lebenszyklus des KI-Systems zu bewältigen.
  3. Privatsphäre und Datenqualitätsmanagement: Die Bürgerinnen und Bürger sollten die volle Kontrolle über ihre eigenen Daten behalten und die sie betreffenden Daten sollten nicht dazu verwendet werden, sie zu schädigen oder zu diskriminieren.
  4. Transparenz: Die Rückverfolgbarkeit der KI-Systeme muss sichergestellt werden.
  5. Vielfalt, Nichtdiskriminierung und Fairness: KI-Systeme sollten dem gesamten Spektrum menschlicher Fähigkeiten, Fertigkeiten und Anforderungen Rechnung tragen und die Barrierefreiheit gewährleisten.
  6. Gesellschaftliches und ökologisches Wohlergehen: KI-Systeme sollten eingesetzt werden, um einen positiven sozialen Wandel sowie die Nachhaltigkeit und ökologische Verantwortlichkeit zu fördern.
  7. Rechenschaftspflicht: Es sollten Mechanismen geschaffen werden, die die Verantwortlichkeit und Rechenschaftspflicht für KI-Systeme und deren Ergebnisse gewährleisten.

Nach der Verabschiedung dieser Richtlinien wird die EU-Kommission nun zu einem kurzfristigen Termin im Sommer 2019 eine Testphase beginnen. Ab sofort ist es für Unternehmen aller Branchen und Größen, öffentliche Einrichtungen, Verwaltungen und Organisationen möglich, der Europäischen KI-Allianz beizutreten Die Mitglieder der hochrangigen, von der EU beauftragten, Expertengruppe werden unterstützend tätig sein, die Leitlinien sowohl teilnehmenden Unternehmen als auch den relevanten Interessengruppen in den einzelnen Ländern vorzustellen und zu erläutern.

Ein wichtiges Ziel der EU-Kommission ist es, diesen Ansatz der KI-Ethik so schnell als möglich auf die internationale und globale Ebene zu bringen. Aus diesem Grund wird die Expertengruppe der EU die Zusammenarbeit mit Ländern wie Japan, Kanada oder Singapur verstärken und weiterhin eine aktive Rolle bei internationalen Diskussionen und Initiativen spielen. Parallel werden natürlich auch Unternehmen aus anderen Ländern und internationale Organisationen einbezogen.

Unternehmerische Risiken durch KI

Hintergrund der ethischen Regeln für KI im Compliancebereich der EU sind natürlich unternehmerische Risiken, welche sich durch den Einsatz und die Nutzung von KI im Unternehmen ergeben können. Nachfolgend einige grundlegende Risikofaktoren, die sich nicht nur durch die schon mögliche Nutzung von KI, sondern auch den zukünftigen Einsatz von immer mehr KI ergeben können:

Unterlegenheit des Menschen:
Ein mögliches Risiko, das gleichermaßen viele Menschen und Unternehmen fürchten, ist die Entwicklung einer „Superintelligenz“. Unter einer Superintelligenz versteht man eine Technologie, die sich selbst optimiert und dadurch vom Menschen unabhängig wird. Die Beziehung zwischen den Menschen und dieser superintelligenten Technik könnten problematisch werden – am Ende könnte der Mensch der Technik gar unterliegen. Eine vorsätzlich bösartige KI halten Forscher allerdings für nahezu ausgeschlossen. Ein tatsächliches Risiko sehen viele dagegen in einer künstlichen Intelligenz, die so kompetent ist, dass sich ihre Aktivitäten verselbstständigen – Aktivitäten, die dann für den Menschen schädlich werden könnten.

Abhängigkeit von der Technik:
Viele sehen die Risiken der KI nicht in einer generellen Unterlegenheit, sondern in einer wachsenden Abhängigkeit des Menschen von technologischen Systemen. In der medizinischen Versorgung etwa, wo der Einsatz von Pflegerobotern bereits getestet wird, macht sich der Mensch zunehmend zum überwachten Objekt technischer Systeme. Dabei laufe er Gefahr, ein Stück seiner Privatheit und Selbstbestimmung aufzugeben. Nicht nur für die Medizin werden diese Bedenken geäußert, sondern auch in Bezug auf KI-gestützte Anwendungen im Bank- und Versicherungswesen, bei der Videoüberwachung oder intelligente Algorithmen im Netz.

Datenschutz und Machtverteilung:
Intelligente Algorithmen können die wachsenden Datensätze immer effizienter verarbeiten. Vor allem für den Internethandel ist dies zunächst eine positive Nachricht. Doch die Weiterverarbeitung von Daten durch KI-Technologien wird für Verbraucher immer schwerer nachzuvollziehen und zu überwachen. Stattdessen haben Unternehmen und Experten mit dem entsprechenden technischen Know-how die alleinige Kontrolle.

Beeinflussung von Meinungsbildung:
Als weiteres Risiko könnten KI-Technologien öffentliche Meinungen auch gezielt lenken. Anlass für diese Bedenken bieten Technologien, die ihre Nutzer bis ins Detail kennen, oder der Einsatz von Social Bots, die die öffentliche Haltung beeinflussen. Bei wachsender Intelligenz dieser Techniken wird das Risiko einer Meinungsbeeinflussung immer höher. Dies wiederrum kann sich im Hinblick auf Rufschädigung oder Instrumentarien aus dem Bereich Marketing katastrophal auf ein Unternehmen auswirken, welches zum Beispiel von massiven „Fake-News“ angegriffen wird.

Arbeitsmarkt:
Die diskutierten Risiken von KI auf dem Arbeitsmarkt betreffen vor allem den Abbau von Arbeitsplätzen. Skeptiker befürchten, dass KI-Technik den Menschen zunehmend überflüssig machen könnte, ob nun durch den Putzroboter, den Pflegeroboter oder durch selbstnavigierende Transportsysteme. In der Medizinethik wird derzeit der Einsatz von Pflegerobotern kontrovers diskutiert. Die Befürchtung: Die Versorgung von pflegebedürftigen Menschen durch Roboter führt zu einer sozialen Kälte. Gleiches gilt für den Einsatz von KI gestützter Software, zum Beispiel im Bank-, Rechnungs- oder Versicherungswesen.

Diskriminierende Algorithmen:
Künstliche Technik liefert im Vergleich zum Menschen oft neutralere Ergebnisse – einer der vielen Vorteile künstlicher Intelligenz. Doch immer wieder zeigt KI-Technik auch Voreingenommenheit gegenüber Geschlecht oder Herkunft von Personen: Microsofts Chatbot Tay etwa imitierte innerhalb kürzester Zeit rassistische Sprache, Sicherheitstechnologien stufen „black neighbourhoods“ eher als Problembezirke ein und Werbeplattformen schalten bei männlichen Usern höher bezahlte Jobangebote. Das Problem ist schon länger bekannt und das British Standards Institute hat daher ethische Guidelines für Roboter herausgegeben. Doch lassen sich diese technisch nur schwer umsetzen – schließlich lernt die KI selbstständig aus ihrer Umwelt anhand von Lernprozessen, die von einzelnen Menschen nur begrenzt beeinflusst werden können.

Ausblick IT-Compliance Officer

Genau hier liegt eines der großen Hauptprobleme von und mit Künstlicher Intelligenz. Die Maschine lernt bereits heute in großen Teilen von und für sich selbst. Inwieweit der Mensch hier als Lehrer fungiert, ist bereits heute nicht mehr klar und eindeutig zu definieren.

All diese Risiken, die auf ein Unternehmen gleich welcher Größe und Branche zukommen werden, sind nicht nur eine Frage der Technik, der Hardware, der Software oder der Ethik. Gerade die Compliance im Unternehmen, die Umsetzung von Compliance-Regeln und die eventuelle Anpassung oder Aktualisierung des momentan verabschiedeten Compliance Management Systems (CMS) müssen auf der internen Agenda der Wichtigkeit für das Unternehmen auf höchster Priorität stehen.

Eine Herausforderung für jeden bereits tätigen oder zukünftigen Compliance Officer oder Chief Compliance Officer im Unternehmen und gleichermaßen die interne Beurteilung der Notwendigkeit, zum Beispiel durch die zusätzliche Position und Integration eines IT-Compliance Officers im Unternehmen, diesen Gefahren nachhaltig entgegenzutreten und sich vor diesen neuen Risiken zu schützen.

Epilog:

„Die größte Gefahr von künstlicher Intelligenz ist, dass die Menschen viel zu früh denken, dass sie KI verstanden haben.“
Eliezer Shlomo Yudkowsky (* 11. September 1979), amerikanischer Forscher und Autor. Er beschäftigt sich mit Entscheidungstheorie und den langfristigen sozialen und philosophischen Folgen der Entwicklung von Künstlicher Intelligenz.

Quellenangaben:

Ethikleitlinien für KI / Europäische Union, Brüssel / 2019
High-Level Expert Group on Artificial Intelligence / European Commission, Brüssel / 2019
Studie: Künstliche Intelligenz in Unternehmen / PWC PricewaterhouseCoopers GmbH / 2019
Alibaba: KI fügt für die Händler Produktinformationen ein / Onlinehändler-News / 2018
Künstliche Intelligenz: Anwendungen, Projekte, Trends / Industry of Things / 2018
Faszination KI: Was ist künstliche Intelligenz? / Digital Guide IONOS / 2018
Der Unterschied zwischen Künstlicher Intelligenz, Maschinelles Learning und Deep Learning / Coresystems / 2018

Compliance und Geschenke im Jahr 2018

Bereits im Jahr 2015 haben wir uns hier in unserem Blog ausführlich mit der Thematik Compliance und Geschenke auseinandergesetzt. Eine Thematik, welche nichts an Aktualität verloren hat.

Aus diesem Grund möchten wir diesen Beitrag nun etwas aktualisieren und im Hinblick auf seitdem neu gefasste Regularien und Definitionen ergänzen. Aber selbst die im weiteren Teil dargestellten Ergebnisse einer Studie im Hinblick auf Geschenke und Compliance und das Verhalten von Geschäftsführern und Mitarbeitern sind weiterhin ein Spiegelbild des täglichen Umgangs und der Korruptionsproblematik.

Betrachtet man eine aktuelle Studie aus dem Jahr 2018, so erkennt man sehr eindringlich, dass die Problematik Bestechung und Korruption, welche auch die Thematik von Geschenken beinhaltet, weiterhin Unternehmen gleich welcher Größe, Branche oder Unternehmensform, tagtäglich bedroht.

n = 2.2500 Befragte weltweit (Geschäftsführer, leitende Mitarbeiter, Compliance Officer)
Quelle: Integrity in the spotlight – The future of compliance / Ernst & Young Global Limited / 2018
Grafik: WIRTSCHAFTScampus

Doch was sind eigentlich Geschenke?

Wo fängt der Verdacht auf Korruption oder Bestechung an und was erlaubt der Gesetzgeber oder das Finanzamt?

Das Unternehmen bzw. der Geschäftsführer entscheidet, wie Lieferanten, Kunden und natürlich intern ein Mitarbeiter beschenkt und Leistungen durch Aufmerksamkeiten gewürdigt werden. Liegt das Geschenk in einem Kostenrahmen von bis zu 40 Euro, so ist dies immer unproblematisch, wenn das Unternehmen keine andere Untergrenze vorgesehen hat.

Eine Grenze von 60 Euro (einschließlich Umsatzsteuer) darf hier keinesfalls überschritten werden, da dies ab einem höheren Betrag dem Finanzamt mitgeteilt werden muss. Hier wurde im Jahr 2015 die Grenze von 40 Euro lt. R 19.6 Abs. 1 LStÄR 2015 „Aufmerksamkeiten“ auf 60 Euro (einschließlich Umsatzsteuer) erhöht. Ebenso festgeschrieben ist lt. § 8 Abs. 2 Satz 9 EStG die Grenze für Gutscheine oder Eintrittskarten. Hier kann man einen Mitarbeiter monatlich mit bis zu 44 Euro als Prämie oder Anerkennung beschenken.

Etwas anders ist dies im öffentlichen Dienst definiert. Hier gibt es laut §§ 331 f. des Strafgesetzbuchs eine eindeutige Regelung, die besagt, dass Geschenke an Bedienstete kategorisch verboten sind, sofern ein objektiver Bezug zwischen einem Geschenk und der dienstlichen Tätigkeit besteht. Sollte ein sachlicher oder zeitlicher Zusammenhang, zum Beispiel bei einer Ausschreibung oder Genehmigung bestehen, so ist der Arbeitnehmer laut dem Tarifvertrag für den Öffentlichen Dienst (TVöD) verpflichtet, dies unverzüglich zu melden und transparent zu machen.

Es ist trotz gesetzlicher Regelung wichtig, die Geschenkeannahme bzw. das Verbot sowohl gesondert in einem Arbeitsvertrag zu verankern, dies parallel gegenüber dem Betriebsrat schriftlich zu kommunizieren und natürlich in den Compliance-Richtlinien des Unternehmens zu verankern.

Bei einem mehrfachen Verstoß ist es, nach Erteilung einer ersten Abmahnung, dem Arbeitgeber möglich, hier eine außerordentliche Kündigung auszusprechen. Entscheidend ist die Verfehlung des Arbeitnehmers, sich persönlich zu bereichern und seine Pflichten und die Interessen des Arbeitgebers zu vernachlässigen bzw. nicht wahrzunehmen. Durch sein Handeln zerstört er das Vertrauen seines Arbeitgebers, seine eigene Zuverlässigkeit bei zukünftigen Aufgaben und ist somit für das Unternehmen nicht mehr tragbar.

Ja, ist denn heute schon Weihnachten?

Natürlich stellt sich die Frage der Geschenke jedes Jahr wieder in der Weihnachtszeit. Es gibt wichtige Kunden, es gibt Mitarbeiter, die es sich durch ihre Leistungen in den letzten 12 Monaten verdient haben, gesondert beschenkt zu werden und natürlich auch Lieferanten und Zulieferer. Was sollte man in der Weihnachtszeit beachten?

Hier gilt es, nicht nur die eigenen Regeln, sondern auch die Compliance-Regeln der Unternehmen, deren Mitarbeiter man beschenken möchte, zu beachten. Im besten Fall empfiehlt es sich, vorher zu recherchieren oder persönlich nachzufragen, ob der Beschenke überhaupt ein Geschenk annehmen darf. So kann man sehr schnell herausfinden, wie das Geschenk auf der anderen Seite ankommt und ob es im sozialen Verhältnis akzeptabel ist oder nicht.

Weiterhin sollten immer organisatorische Grundregeln beachtet werden. Man sollte immer Geschenke an die offizielle Unternehmensadresse schicken und niemals an die Privatadresse des Mitarbeiters. Bei einem eventuellen Versand eines Gutscheins im Wert von bis zu 44 Euro sollte dieser immer personalisiert sein oder ausdrücklich mit einem personalisierten Bezug / Schreiben versehen sein, der Versand von reinen Geldgeschenken bis zu 60 Euro sollte in jedem Fall vermieden werden.

Wenn man auf der sicheren Seite sein möchte und von Anfang an Transparenz kommunizieren will, empfiehlt es sich, alle Geschenke und Einladungen mit geschäftlichem Bezug schriftlich zu dokumentieren.

„Haben Sie heute Abend Zeit?“

Einladung von Geschäftspartnern zu Veranstaltungen

Eintrittskarten für Kultur- oder Sportveranstaltungen kosten häufig weit mehr, als Mitarbeiter laut Compliance-Richtlinien entgegennehmen dürfen. Das hat in der Vergangenheit bei Veranstaltungen, die auf Sponsorengelder angewiesen sind und bei denen die Sponsoren Karten-Kontingente bekommen, zu Problemen geführt: Die Sponsoren konnten mit den Tickets nicht viel anfangen, weil ihre Geschäftspartner die Einladung aufgrund von Compliance-Richtlinien immer häufiger nicht annehmen durften bzw. der geldwerte Vorteil zu versteuern ist.

Aus diesem Grund und zur Sicherung bzw. Fortführung des Kultursponsorings rief der Kulturkreis der deutschen Wirtschaft im BDI e.V. (angeregt durch das Rheingau Musik Festival) die Arbeitsgruppe „Kultur und Compliance” ins Leben, die das sog. „Berliner Compliance Modell” entworfen hat.

In der Arbeitsgruppe haben u.a. Vertreter der Beauftragten für Kultur und Medien, Vertreter von Bilfinger, Vertreter des Deutschen Corporate Governance Kodexes und Vertreter diverser Kulturevents mitgewirkt. Berücksichtigt ein Unternehmen, trotz der fehlenden Ratifizierung, die nachfolgenden Voraussetzungen, so sollten Einladungen zu Kultur- oder Sportveranstaltungen im Hinblick auf die Transparenz und die Compliance als unproblematisch einzustufen sein:

  • Es besteht kein enger Zusammenhang mit einem Vertragsabschluss oder einer sonstigen konkreten Geschäftsentscheidung.
  • Der Gesamtwert einer Einladung pro Eingeladenen beträgt nicht mehr als 100 Euro; für den Fall, dass auch eine Begleitperson eingeladen wird, liegt die Grenze bei insgesamt 200 Euro.
  • Die Einladung erfolgt transparent, das heißt, sie wird an die Firmenadresse übermittelt.
  • Der Eingeladene ist kein Amtsträger, sondern Unternehmensvertreter in gehobener Stellung.
  • Die Einladung erhält den Hinweis, dass die Versteuerung anhand einer Pauschalierung im Sinne des § 37b EStG durch das einladende Unternehmen erfolgt.

Das vollständige Modell wurde in 2016 dem Bundesjustizministerium und dem Bundesfinanzministerium mit Verweis auf die Zuständigkeit der Länder vorgelegt, jedoch leider bisher von keiner Seite ratifiziert.

Nachfolgend folgt nun unser Blogbeitrag aus dem Jahr 2015, der nichts an Aktualität verloren hat und ausführlich die Thematik Geschenke und Compliance anhand von nationalen und internationalen Beispielen, Richtlinien und Studien analysiert.


Große und teure Geschenke, pompöse Essen im 3-Sterne Restaurant und VIP-Einladungen – das war einmal. Viele Unternehmen haben heute strenge Regeln gegen Korruption, die Geschäftsführer und Manager, aber auch Mitarbeiter in mittleren und gehobenen Positionen, fürchten daher noble Präsente und exklusive Einladungen.

Na, haben Sie auch wieder die eine oder andere Flasche Wein zu Weihnachten bekommen? Stapeln sich Präsente auf Ihrem Sideboard? Sind Sie vielleicht gar eingeladen zum Neujahrskonzert nach Wien oder gehen mit einem guten Kunden nach dessen Einladung zu einem Spiel des FC Bayern in eine der VIP-Logen der Allianz Arena?

Ach – was war das früher schön! Da gab es nicht nur ungleich mehr Präsente und Einladungen zu prächtigen Events als heute, man hat sie auch ohne große Bedenken angenommen. Oder schielte neidisch auf die Kiste mit dem feinen und exquisiten Leckereien vom Nobelitaliener um die Ecke, die beim Nachbarn auf dem Schreibtisch stand.

Alles vorbei und Schnee von gestern.

Nettigkeit oder Korruption?

Heute plagt einen schnell das Gewissen: Was nehme und gebe ich, und wenn ja, wie viel? Wann wird Freundlichkeit zu Bestechung und Korruption – oder richtig peinlich, wenn sie publik wird?

Die Angst geht um in deutschen Chefetagen: War es Unternehmen nach deutschem Recht bis 1999 sogar möglich, Bestechungsgelder von der Steuer abzusetzen, weiß heute kaum jemand mehr, wann Firmenpräsente oder Einladungen noch im Rahmen des Erlaubten sind oder wann sie anrüchig werden – gerade jetzt, in der Vorweihnachtszeit.

Aber auch im Rest des Jahres? Wo in früheren Jahren unternehmensinterne Poststellen körbeweise Präsente in die Büros karrten, herrscht nun gähnende Leere. Gehörte die sündhaftteure Cohiba noch vor wenigen Jahren zum standesgemäßen Abschluss eines Geschäftsessens, werden Einladungen zum Essen heute schon mal abgesagt, weil sich durch einen Anruf im 3-Sterne-Restaurant herausstellt, dass das Menü, das anlässlich der Einladung kredenzt werden soll, 250 Euro kostet. Findet das Geschäftsessen doch statt, endet es nicht selten mit getrennten Rechnungen – jeder bezahlt für sich.

Andere Länder – andere Sitten

In Deutschland ist es nun seit einigen Jahren gesetzlich geregelt. dass Unternehmen Geschenke bis zu einem Wert von 60 Euro (brutto) von der Steuer absetzen können (Stand 2018), aber in jedem Land gelten andere Schenksitten. In letzter Instanz entscheiden Richter oder Staatsanwalt, was angemessen war.

Während Unternehmen in China bei Parteivertretern mit ihren Anliegen meist nur mit teurem Likör und Luxuszigaretten durchdringen und umgekehrt Geschäftspartner brüskiert wären, würden deren Geschenke mit Hinweis auf Antibestechungsrichtlinien abgelehnt, gehen Unternehmen in den USA dazu über, gar nichts mehr zu schenken. Sie empfehlen stattdessen das Versenden von Weihnachtskarten, verbunden mit einer Spende an eine Wohltätigkeitsorganisation.

Geschenke gelten in Deutschland allgemein noch als annehmbar und akzeptabel, wenn sie einen Wert von 30 bis 40 EUR nicht überschreiten. Wer allerdings auf der sicheren Seite sein will, regelt das Thema Geschenke, Einladungen und Zuwendungen in seinem Unternehmen eindeutig und teilt die Vorschriften allen Mitarbeitern schriftlich mit.

Beamte oder Angestellte des Bundes dürfen grundsätzlich keine Belohnungen, Geschenke oder Einladungen annehmen. Ausnahmen gelten nur, wenn Vorgesetzte ausdrücklich zustimmen. Minister und Staatssekretäre des Bundes müssen Geschenke melden, die Bundesregierung entscheidet dann individuell nach Vorlage. Gleiches gilt für alle Landesregierungen. Für Beschäftigte im öffentlichen Sektor, also bei Firmen mit Staatsbeteiligung (Landesbanken oder auch die Deutsche Gesellschaft für internationale Zusammenarbeit), gelten vergleichbar strenge Regeln, welche aber nach Bundesländern unterschiedlich sein können.

Zauberwort Compliance

Leider wird das Compliance Management bei vielen Unternehmen nicht konsequent umgesetzt, wie eine Studie in 2015 der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt zusammen mit dem Unternehmen Recommind zeigte.

Demnach bleibt das Compliance Management in jedem dritten Unternehmen auf halber Strecke stehen: Nur 69 Prozent derer, die Regeln aufgestellt haben, kontrollieren auch, ob sich die Belegschaft daran hält. Und nur 51 Prozent haben sich Gedanken darüber gemacht, was passiert, wenn doch einmal jemand ein zu teures Geschenk annimmt oder macht.

Jeder Vierte nimmt Geschenke an

In 18 Prozent der Unternehmen gibt es gar kein derartiges Regelwerk. Bei der Frage nach den Gründen, weshalb Compliance bisher keine Rolle spielte, wurden vor allem mangelnder Bedarf und mangelnde Ressourcen angeführt. Eine ergänzende Umfrage unter 1000 Arbeitnehmern hat gezeigt, dass lediglich 36 Prozent der Befragten von bestehenden Compliance-Regeln im Unternehmen wissen und sich auch daran halten.

Jeder vierte Arbeitnehmer gab zu, dass es zwar ein Regelwerk gäbe, sich aber aufgrund mangelnder Kontrollen ein eher lockerer Umgang mit bestehenden Vorschriften eingeschlichen habe. 17 Prozent gaben an, dass es in ihrem Unternehmen keine Compliance-Richtlinien gäbe; 23 Prozent konnten sich unter dem Begriff Compliance noch nicht einmal etwas vorstellen.

grafik1

Quelle: Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Grafik: WIRTSCHAFTScampus

Auf die Frage, ob die Annahme von Geschenken von Kunden, Lieferanten oder anderen Geschäftspartnern am Arbeitsplatz zulässig sei, zeigte sich jeder vierte Befragte völlig bedenkenlos. Immerhin 20 Prozent sahen eine Schmerzgrenze bei einem Geschenkwert von 30 Euro.

Zwar ist die Wertgrenze, die die Annahme von Geschenken von Bestechlichkeit unterscheidet, gesetzlich nicht eindeutig geregelt, doch fallen Präsente im Wert von 20 bis 30 Euro gemeinhin unter akzeptable Aufmerksamkeiten. Jeder Fünfte gab zu, in dieser Frage verunsichert zu sein und würde im Einzelfall seinen Vorgesetzen fragen.

Tipps und Regeln schützen vor Gefahren

Wichtig ist hier die deutliche Unterscheidung, wer von wem was bekommt. Nachfolgend sollen nun einige kurze und prägnante Regeln aufgezeigt werden, mit denen man sich zur schönsten Zeit des Jahres im Bezug auf Geschenke einfach schützen kann.

Für die Auswahl eines Geschenks an Kollegen ist Fingerspitzengefühl gefragt, denn sonst kann das gut gemeinte Geschenk auch falsch interpretiert werden.

  1. Legen Sie in Abstimmung mit den Kollegen Preisgrenzen für die Geschenke fest und halten Sie diese ein, damit es nicht zu Peinlichkeiten von zu teuren oder zu preiswerten Präsenten kommt.
  2. Überlegen Sie sich, was zu Ihrem Kollegen passt. Nehmen Sie Bezug auf seine Hobbys oder Vorlieben. Einen Vorteil hat der, der schon im Laufe der Zeit aufmerksam gelauscht hat, was den Kollegen interessiert oder was er gerne mag. Ein Geschenk soll Freude machen und nicht im Keller verstauben.
  3. Packen Sie das Geschenk mit schönem Weihnachtspapier sorgsam ein.
  4. Eine besondere Note setzen Sie mit einem persönlichen und handgeschriebenen Gruß. Vermeiden Sie allgemeingültige Floskeln.
  5. Ein absolutes Tabu sind Geschenke, die den Beschenkten diskreditieren, anzüglich sind oder solche, die Anspielungen verursachen. Ein No Go ist zum Beispiel ein, wenn auch hochwertiges Shampoo für den eher ungepflegten Kollegen.
  6. Wer einem bestimmten Kollegen etwas schenken möchte, weil er ihn im vergangenen Jahr besonders unterstützt hat, kann das natürlich machen, ohne gleich alle anderen Mitarbeiter zu bedenken. Dann sollten Sie das Präsent an diesen Kollegen unter vier Augen übergeben und sich für seine Arbeit freundlich bedanken.

Kurz vor Weihnachten kommen häufig in verschiedenen Abteilungen der Unternehmen Geschenke von Kunden und Lieferanten an. Oft geht es dabei nicht nur um eine Flasche Wein, sondern zum Beispiel um Einladungen in eine VIP Lounge von Veranstaltungen.

Solche gut gemeinten „Gaben“ sind heute nicht mehr in jedem Unternehmen gern gesehen, sondern sogar verboten. Gerade große Betriebe haben sich Verhaltensrichtlinien, sogenannte „Codes of Conducts“ oder „Compliance-Regeln“ auferlegt, um nicht in den Verdacht der Bestechlichkeit zu geraten. Hier ist vor allem wichtig, sich an diese, vom Unternehmen vorgegebenen Regeln zu halten. Allgemein gilt:

  1. Geschenke müssen, aus rechtlicher Sicht, sozial angemessen sein. Als Faustregel sollte man sich fragen, ob man einem Dritten bedenkenlos von dem Geschenk erzählen würde, ohne ein schlechtes Gewissen zu haben.
  2. Um Zweifel an der Unbedenklichkeit erst gar nicht aufkommen zu lassen, ist es erforderlich, sich das Geschenk von seinem Vorgesetzten genehmigen zu lassen.
  3. Um eben diese Zweifelsfragen nicht entstehen zu lassen, haben viele Unternehmen eine Wertgrenze für Geschenke festgelegt. Daran müssen sich alle Mitarbeiter halten.
  4. Sollten Sie dennoch einmal in die Verlegenheit kommen, ein Geschenk zu bekommen, das Sie nicht annehmen dürfen, bedanken Sie sich höflich und erklären Sie, dass Sie es nicht annehmen dürfen. Inzwischen sind viele Unternehmen mit den Compliance-Regeln vertraut und akzeptieren diese Ablehnung.
  5. Diese Aspekte beachten Sie selbst auch immer dann, wenn Sie etwas verschenken.
  6. Bevor Sie auf Ablehnung stoßen, kommt manchmal ein handgeschriebener, mit persönlichen Worten verschickter Gruß besser an, als ein Geschenk, das in einem Schrank verschwindet oder gar nicht angenommen werden darf.

Berücksichtigt man diese Regeln, so steht einem ruhigen und schönen Weihnachtsfest nichts mehr im Wege. Genau dies wünschen wir Ihnen zusammen mit einem guten Rutsch in das neue Jahr 2019!

Quellenangaben:

Studie „Integrity in the spotlight – The future of compliance“ / Ernst & Young Global Limited / 2018
Studie „Compliance Readiness in deutschen Unternehmen 2015“, Recommind 2015
Artikel „Compliance-Richtlinien – Bei Geschenken herrscht große Unsicherheit“, Wirtschaftswoche 2015
Artikel „Die Angst der Manager vor Weihnachten“, Claudia Rei-schauer , Wirtschaftswoche 2011
Blogbeitrag „2 Mal 6 Tipps für Weihnachtspräsente“ , Simone Janson, Berufsbilder.de 2015


Der Compliance Wintercampus 2019

Beginnen Sie mit dem WIRTSCHAFTScampus sofort eine Ausbildung zum Certified Chief Compliance Officer im Compliance Wintercampus 2019. Der WIRTSCHAFTScampus setzt damit die Reihe des Compliance Wintercampus im siebten Jahr erfolgreich fort.

Der Compliance Wintercampus 2019 richtet sich an bereits tätige oder zukünftige Compliance-Beauftragte, Mitarbeiter aus den Bereichen Finanzbuchhaltung, Controlling, Einkauf, Vertrieb, Geschäftsführer, Mitglieder der Geschäftsführung und des Aufsichtsrats, Geldwäsche- und Antikorruptionsbeauftragte sowie an Rechtsanwälte und Wirtschaftsprüfer.

Während des Compliance Wintercampus 2019 wird das Deutsche Institut zur Zertifizierung im Rechnungswesen (DIZR) e.V. exklusiv nur für diese Teilnehmer eine Zwischenzertifizierung durchführen, auf die der WIRTSCHAFTScampus individuell und praxisnah in einer gezielten Präsenzphase vorbereiten wird. Die abschließende Zertifizierung zum Certified Chief Compliance Officer wird bundesweit, zum Beispiel in Hamburg, Düsseldorf, Frankfurt, Leipzig oder München sowie in der Schweiz und in Österreich angeboten.

Ausführliche Informationen zum Compliance Wintercampus 2019 finden Sie auf der Homepage des WIRTSCHAFTScampus.

Compliance und Maschinenwesen (RPA)

Prolog:

Die drei Robotergesetze:

1. Ein Roboter darf einem menschlichen Wesen keinen Schaden zufügen oder durch Untätigkeit zulassen, dass einem menschlichen Wesen Schaden zugefügt wird.

2. Ein Roboter muss den Befehlen gehorchen, die ihm von Menschen erteilt werden, es sei denn, dies würde gegen das erste Gebot verstoßen.

3. Ein Roboter muss seine eigene Existenz schützen, solange solch ein Schutz nicht gegen das erste oder zweite Gebot verstößt.
Isaac Asimov (russisch-amerikanischer Biochemiker und einer der bekanntesten Science-Fiction-Schriftsteller) aus seiner Kurzgeschichte „Runaround“ von 1942

Wir sind gekommen um zu bleiben – Roboter und RPA sind angekommen!

Die Faszination von Maschinenmenschen, die im täglichen Arbeitsumfeld eingesetzt werden, ob nun in der Fabrik, im Unternehmen oder zu Hause in der wohnlichen Umgebung, wurde nicht in der Literatur oder durch das Kino erschaffen, sondern ist älter, als wir denken.

Das erste Maschinenwesen, ein Roboter-Vogel, wurde bereits im Jahr 350 vor Christi Geburt vom griechischen Philosophen und Mathematiker Archytas von Tarententum entwickelt und aus Holz gebaut. Um zu erforschen, wie Vögel sich durch das Fliegen fortbewegen, baute er eine Taube, welche sich durch Dampf fortbewegen konnte. Immerhin ist dieser „leblose Vogel“ lt. Übersetzungen 200 Meter weit erfolgreich geflogen.

Bereits im letzten Jahrhundert träumten Menschen davon, sich durch Maschinenwesen, ob nun im privaten Umfeld oder zur industriellen Nutzung, helfen zu lassen, ihnen Aufgaben und Arbeiten zu übergeben, um so Zeit und natürlich auch Geld zu sparen.


Postkarte von 1899 aus Frankreich mit einem Hausroboter

Der erste Maschinenmensch kommt aus … Dresden

Als erster Maschinenmensch gilt der von Friedrich Wilhelm Kaufmann im Jahr 1810 in Dresden erfundene und gebaute mechanische Trompeter. Sein Vater baute bereits ab 1772 mechanische Instrumente und Apparate, die die Töne verschiedener Orchesterinstrumente nachahmen konnten. 1808 baute Friedrich Wilhelm Kaufmann gemeinsam mit seinem Vater verschiedene Musikautomaten wie das Belloneon, ein mechanisches Musikwerk mit Pauken und Trompeten.

Es folgte, nach zwei Jahren der Planung, im Jahr 1810 der mechanische Trompeter. Der Trompeterautomat besitzt zwei Stiftwalzen-Systeme, wovon eines die Melodie, das andere den Rhythmus steuert. Der Antrieb erfolgt über Federaufzug, die Tonerzeugung durch zwölf Metallzungen und zwei sog. Schöpfbälge. Der Trompeter war voll beweglich, setzt mit dem Arm die Trompete an den Mund und nimmt sie nach dem Spiel wieder ab.

Der Maschinenmensch war geboren, und dies im Jahr 1810 in Dresden!

Bekannt und populär wurde der Trompeterautomat als Exponent und insbesondere durch die Berichte und Geschichten prominenter Literaten aus dieser Zeit, darunter E.T.A Hoffmann, Jean Paul oder Edgar Allan Poe, der diesen Maschinenmenschen in seiner Erzählung „William Wilson“ 1839 als Doppelgänger von sich selbst verarbeitete.


Mechanischer Trompeter, signiert: „Friedr. Kaufmann in Dresden“, 1810 – Original

Mein Name ist Robota

Die ersten menschenähnlichen Roboter wurden im 18. und 19. Jahrhundert von Mechanikern entwickelt. Damals redete man jedoch noch von Automaten, da das Wort Roboter (tschechisch Robota für Arbeit, Frondienst oder Zwangsarbeit) erst 1920 vom Künstler Josef Capek und seinem Theaterstück R.U.R. (Rossum Universal Robots) zum ersten Mal auftauchte. In seinem Stück wurden menschenähnliche künstliche Arbeiter in Tanks gezüchtet, die menschliche Arbeit übernehmen sollten und schließlich revoltieren.

Der Pionier des „modernen Roboters“ ist George Devol, der 1954 „Unimate“ erfand, den ersten Industrieroboter. Zusammen mit seinem Geldgeber und späteren Freund Joseph Engelberger entwickelten beide gemeinsam ihre Idee eines vollwertigen und produktionstauglichen Industrieroboters weiter, der zunächst nur aus einem einzigen Roboterarm bestand, und es entstand der erste Prototyp eines vollwertig genutzten Produktionsroboters.

Die Roboter erobern die Welt … und Deutschland

Nach einigen Jahren der Weiterentwicklung wurde im Jahr 1961 der Unimate #1 in der Fertigungsstraße bei General Motors vollwertig eingesetzt. Dort schweißte er mit einem mechanischen Arm, der mehrere Befehle ausführen konnte – welche auf einer Magnettrommel mithilfe von Lochkarten programmiert und dann gespeichert wurden –, Druckgussteile für Kfz-Karosserien. Ab 1966 konnte der Unimate-Roboter auch lackieren und punktschweißen.


George Devol (Erfinder) und Joseph Engelberger (Ingenieur) mit ihrem Roboter „Unimate #1 1961 bei General Motors

Während das Geschäft mit den Unimate-Robotern in den USA durch fehlende Akzeptanz eher schleppend lief, sah Japan die Roboter als Lösung für den zur damaligen Zeit bestehenden Fachkräftemangel an. Die ersten Industrieroboter mit hydraulischen Zylindern als Antriebsquellen wurden in Japan ab 1967 eingesetzt. Im Jahr 1968 erhielt das japanische Unternehmen Kawasaki das Lizenzrecht, Unimate in Japan für den asiatischen Markt zu produzieren.

In Deutschland halfen hydraulische Industrieroboter ab 1970 bei Mercedes-Benz in der Automobilproduktion. Allerdings hatten die Roboter von Unimation, die zunächst das Punktschweißen unter schwerer Last übernehmen sollten, einen Nachteil: Sie kamen damit kaum zurecht.

Der Augsburger Robotikpionier Kuka fungierte damals als deutscher Händler von Unimation. Er rüstete die amerikanischen Roboter mit seinen Ideen und Innovationen für die Schwerarbeit auf. Der Startschuss für die eigene Roboter-Entwicklung war gefallen. Im Jahr 1973 bauten die Augsburger schließlich den weltweit ersten Industrieroboter mit sechs elektromechanisch angetriebenen Achsen, bekannt als Famulus.


Der Siegeszug der Roboter war ab diesem Zeitpunkt nicht mehr aufzuhalten. Heute sind Roboter integraler Bestandteil unserer Gesellschaft, sodass man sich eine Welt ohne diese technischen Erscheinungen nicht mehr vorstellen kann. Roboter sind nicht mehr nur in Fabriken präsent, sondern auch in unseren Büros. Teilweise in physischer Natur, aber größtenteils in unsichtbarer Form mit dem Ziel, die Arbeitsqualität zu verbessern.

Doch stellt sich die Frage: Müssen Roboter immer so aussehen, wie wir sie uns vorstellen? Als laufenden „Blechmann“, der mittlerweile Krankenhäuser genauso erobert hat wie Schlachtfelder oder als überdimensionale Werksmaschine, bestehend aus Armen oder Beinen, die 24 Stunden am Tag ohne Pause oder am Wochenende in der Produktion eingesetzt wird.

Die Antwort ist ein eindeutiges Nein!

Wenn sich der Einsatz von physischen Robotern in der Fabrik oder auch Altenpflege bewährt hat, warum sollen nicht auch Roboter zur Automatisierung betrieblicher Abläufe im administrativen Bereich eingesetzt werden? Diese Roboter entsprechen der neuesten Evolutionsstufe. Sie sind nicht physisch, sondern immateriell, genannt Software-Roboter.

Ich finde Dich – Du siehst mich nicht

Software-Roboter sind im Grunde genommen zusammenhängende codierte Befehle, die einem Computer mitteilen, welche Aufgaben er auszuführen hat und wie er diese auszuführen hat. Die gängigsten Software-Roboter werden auch als Robotic Process Automation (RPA) bezeichnet.

Definition von RPA

Robotic Process Automation (RPA) ist die Automatisierung von immer wiederkehrenden Aufgaben im Unternehmen durch Software-Roboter, auch (Software-) Bots genannt.

Hierbei handelt es sich nicht um einen herkömmlichen Roboter, sondern um eine Software, bestehend aus einem Hauptprogramm und eventuell zusätzlichen (individuellen) Softwareapplikationen, welche die Eingabe eines Anwenders oder Kunden in den Benutzeroberflächen von Anwendungen durchführt. Dies erfolgt vollkommen anwendungsunabhängig, d.h. die Programme oder der Bot erledigen Aufgaben technologieübergreifend und ermöglichen nicht nur die vollkommene Automatisierung einzelner Aufgaben, sondern die Übernahme und Durchführung ganzer firmeninterner Prozesse.

Merkmale von RPA

Robotic Process Automation kann Unternehmen bei ihrer digitalen Transformation unterstützen:

• besseren Kundenservice ermöglichen
• Sicherstellung der Einhaltung von Vorschriften und Standards bei Geschäftsabläufen und Prozessen
• Prozesse können wesentlich schneller abgeschlossen werden
• Effizienzsteigerung durch Digitalisierung und Auditierung von Prozessdaten
• Kostenersparnis bei manuellen und sich wiederholenden Aufgaben
• Mitarbeiter zu mehr Produktivität befähigen

Vorteile von RPA


Grafik: WIRTSCHAFTScampus

Insbesondere Versicherungen, Finanz- und Kreditinstitute haben eine hohe Quote an regelbasierten, immer wiederkehrenden und standardisierten internen Prozessen, die mit einem hohen Ressourceneinsatz einhergehen und für Automatisierungen prädestiniert sind.

Ob Service- und Transaktionsanfragen, klassische Workflow-Prozesse im Bank- oder EC-Karten- und Kreditkartengeschäft oder regulatorische Prozessrichtlinien: Mit RPA-Technologien sind vielfältige Szenarien zur Erhöhung von Qualität und Produktivität möglich.

Funktionsweise von RPA

RPA-Technologien interpretieren wiederkehrende und regelbasierte Tätigkeiten als Algorithmus und sind in der Lage, diese automatisch umzusetzen. So können auf RPA basierende Lösungen als Assistenzsysteme im Unternehmen definiert werden, die sämtliche für einen Prozess notwendigen IT-Systeme eigenständig, rund um die Uhr, fehlerfrei und nach vorgegebenen Regeln bedienen und ausführen.

Automatisierter Workflow von RPA


Grafik: WIRTSCHAFTScampus

Die RPA-Bots kommunizieren mit allen Systemen im Unternehmen, holen interne und/oder externe Informationen ein und sind eigenständig in der Lage, relevante Daten zu ändern. Nur in festgelegten Ausnahmefällen oder bei Unstimmigkeiten wird ein menschlicher Mitarbeiter angesprochen.

Roboter, Bots, KI und RPA sind angekommen

Der weltweite Absatz von (Industrie-) Robotern hat lt. der International Federation of Robotics (IFR) 2017 die Rekordmarke von 380.550 Einheiten erreicht. Das entspricht einem Plus von 29 % im Vergleich zum Vorjahr (2016: 294.300 Einheiten). Nachfolgend zwei aktuelle Beispiele für den erfolgreichen Einsatz der Roboter:

Hardware-Roboter:

125 fahrerlose Transportfahrzeuge (Automated Guided Vehicles – AGV) arbeiten mit 7.000 Mitarbeitern im SEAT-Werk in Martorell Hand in Hand. Diese intelligenten Roboter transportieren täglich 23.800 Teile und fahren im Jahr eine Strecke von 436.000 Kilometern, was ungefähr dem Abstand zwischen der Erde und dem Mond entspricht. Der robotergestützte Transport erleichtert und optimiert den Arbeitsalltag der Mitarbeiter und reduziert die Produktionszeit um 25 Prozent.
Quelle: VW / 2018

Software-Roboter:

Mensch oder Maschine? Entweder arbeiten sieben Angestellte drei Tage gemeinsam an einem Projekt oder ein Roboter erledigt dieses Projekt allein. Die St. Galler Kantonalbank AG (SGKB) entschied sich hier für die zweite Option. Mit dem Ergebnis ist die Bank so zufrieden und über die Kosteneinsparung begeistert, dass sie kurzfristig über weitere Einsätze des Roboters entscheiden will.
Quelle: Internetrecherche / 2018

Neben diesen beiden Anwendungsbeispielen hat aber auch der Roboter im themenbezogenen Segment der Compliance bereits Einzug gefunden.


Gestatten: Mein Name ist James – Roboter und Compliance Officer

Das zeigt das Beispiel der schweizerische Bank Credit-Suisse, die bereits im Bereich der Compliance auf die neuen Entwicklungen setzt. Das Geschäftsjahr 2017 war nach Angaben der Bank das erste seit drei Jahren, in dem die Compliance-Kosten in der Bank nicht weiter gestiegen sind.

Maßgeblich dafür ist der neue Mitarbeiter der Bank, der von der Credit-Suisse intern „James the Robot“ genannt wird. Der Roboter überprüft die Investments der Credit-Suisse -Kunden auf Risiken und erledigt dies rund 200-mal schneller als ein menschlicher Angestellter der Bank. Der Effekt für die Credit-Suisse ist neben einer erheblichen Effizienzsteigerung auch eine deutliche Senkung möglicher Risiken wie zum Beispiel die Prävention von Geldwäsche durch die schnelle und umfassende Recherche des Roboters.

Compliance und RPA

Der Software Roboter James ist aber nur ein Aspekt, wie sich in der Zukunft Compliance im Umfeld von RPA und KI verändern wird. Nachfolgend sollen nun im Focus der Compliance einige Anwendungen bzw. Änderungen oder Optimierungen dargestellt werden, welche durch die neuen Technologien schon jetzt oder in absehbarer Zeit realisierbar sind.

KYC – Know your customer

Als Know your customer („Kenne deinen Kunden“) wird eine insbesondere für Banken und Versicherungen vorgeschriebene Legitimationsprüfung von bestimmten Neukunden zur Verhinderung von Geldwäsche auf Grundlage der 3. EU-Geldwäsche-Richtlinie bezeichnet. Gesetze und Vorschriften verlangen im Bankgeschäft oder bei Versicherungen eine lückenlose und prüfbare Legitimationsprüfung aller Kunden und Unternehmen, um beispielsweise Geldwäsche zu verhindern. Banken müssen aus regulatorischen Gründen für jeden Kunden, mit dem sie eine Geschäftsbeziehung eingehen, den Nachweis erbringen, dass sie ihn genau geprüft haben. Sie müssen wissen, um wen es sich handelt, wer hinter Unternehmen oder Konsortien steht, welche Personen im Spiel sind und welche Netzwerke vorliegen.

Aber wie können Banken in Sekundenbruchteilen sicherstellen, dass ein (neuer) Kunde regelkonform oder eine Transaktion mit einem bestehenden Kunden oder Unternehmen legal ist? Was bei privaten Kunden durch Verfahren wie PostID noch relativ einfach und schnell umzusetzen ist, gestaltet sich bei Geschäftskunden wesentlich schwieriger.

Zeit kostet Geld

Hier müssen meist noch immer Informationen angefordert oder recherchiert werden, Formulare sorgfältig ausgefüllt und teils gegengezeichnet werden und dann manuell in die internen IT-Systeme übertragen werden. Der Zeitaufwand ist groß, es fallen deutliche Personalkosten an und gerade für Unternehmen oder Konzerne ist dies heute nicht oder kaum noch nachvollziehbar und akzeptabel. Das dauert lange, kostet viel Zeit und Geld und ist für Firmenkunden nicht nachvollziehbar. Zudem zählt nicht nur der aktuelle Status des Unternehmens, sondern auch seine Vergangenheit.

Manuelle vs. automatisierte KYC – Analyse


Grafik: WIRTSCHAFTScampus

Genau hier beginnen die Aufgaben eines RPA – Systems, um zukünftig sowohl intern Kosten durch eine Automatisierung von manuell zu lösenden Aufgaben einzusparen und gleichzeitig deutlich an Schnelligkeit gegenüber Kunden zu gewinnen. Weiterhin wird es den dafür geschulten KYC-Spezialisten möglich sein, komplexere und diffizile Aufgaben und Sachverhalte gezielter und nachhaltiger zu bearbeiten.

AFC – Anti-Financial Crime Alert Handling

Anti-Financial Crime (AFC) bezeichnet die Durchsetzung regulatorischer Anforderungen in den einzelnen Financial-Crime Compliance Aufgaben, mit denen Banken oder Versicherungen tagtäglich konfrontiert werden.

Im Unternehmen müssen Red Flags frühzeitig erkannt werden, damit diese risikobasiert bewertet bzw. analysiert und mit den Entscheidungsträgern schnell und zeitnah abgestimmt und umgesetzt werden können. Der Begriff AFC beinhaltet die nachfolgenden Schwerpunkte:

• Anti-Bribery & Corruption (ABC)
• Anti-Fraud & Investigations (AFI)
• Anti-Money Laundering (AML)
• Counter Terrorism Financing (CTF)
• Sanctions & Embargoes (S&E)
• Regulatorische Themen

Eine oder mehrere der oben dargestellten Auffälligkeiten, zum Beispiel bei einer Geldtransaktion, müssen sofort überprüft werden, um zu vermeiden, dass es zu Verstößen im Gesetzes- oder Compliancebereich kommt. Hier kann es zu einem automatischen Alarm, zum Beispiel durch ein Monitoringsystem kommen, aber auch persönliche Hinweise, zum Beispiel durch einen Mitarbeiter oder Whistleblower, sind denkbar.

Compliance on duty

Zum momentanen Zeitpunkt müssen alle Verdachtsfälle im Unternehmen manuell durch Compliance Officers überprüft und oft noch zusätzlich durch den Chief Compliance Officer legitimiert werden!

Dies bedeutet nicht nur einen erhöhten Kostenfaktor durch Mitarbeiter und eine mögliche Verzögerung durch einen massiven Zeitaufwand jeder einzelnen Prüfung, sondern einen, für die Bank oder Versicherung, erhöhten Risikofaktor, da mögliche Regel- oder Sanktionsverstöße bereits vor der finalen Ausführung einer Transaktion erkannt werden müssen.

Als Beispiel ist hier der Verdachtsfall auf Geldwäsche oder einer Finanzierung im Umfeld von Terrorismus zu nennen: Bei dem geringsten Verdachtsmoment muss die erkannte oder gemeldete Transaktion gestoppt werden und kann frühestens nach drei Arbeitstagen ausgeführt werden. Der hieraus entstehende Zeitdruck erhöht maßgeblich auch das Risiko einer Fehlentscheidung oder eines Verstoßes gegen bestehende Gesetze im Unternehmen.

RPA – Big Brother is working for you!

Durch den Einsatz von RPA können gleichermaßen Mitarbeiter im Bereich Compliance entlastet werden, Risiken und Gefahren sehr schnell und frühzeitig erkannt und automatisch klassifiziert werden.

RPA kann zwischen der Freigabe und dem Verbot einer Transaktion sehr viel schneller und effektiver entscheiden, und den Mitarbeitern im Bereich Compliance wird es durch diese Vor-Selektierung möglich, sich viel schneller und intensiver um die, durch RPA, ausgewählten Fälle zu kümmern. Die Maschine, bzw. die intelligente Software, ermöglicht es zukünftig den bereits heute vorhandenen Mitarbeitern der Compliance-Abteilung, deutlich schneller solche Vorgänge und Vorfälle sowohl zu erkennen als auch zu bearbeiten.

Die Einführung und Nutzung von RPA wird zukünftig die Faktoren Personalkosten und Zeitaufwand minimieren und gleichzeitig externen, aber auch internen, Risiken und Gefahren für bzw. gegen das Unternehmen deutlich effektiver entgegentreten.

RPA – Beispiele

Das Spektrum der Aufgaben und Tätigkeiten, welche die Einführung von RPA mit sich zieht, wird die internen Arbeitsabläufe in den nächsten Jahren deutlich verändern – sie werden effektiver, schneller, risikomindernd und kostengünstiger. Beispiele hierfür werden sein:

Anlage und Pflege von Kundendaten

Bei einer Kontoeröffnung wird verstärkt das Internet genutzt. Neukunden senden hier Daten und Dokumente zur weiteren Bearbeitung an die Bank oder eine Versicherung. Heute wird dies noch (fast) alles manuell von Mitarbeitern in Dokumenten eingetragen, teils gescannt und intern hinterlegt. In der Zukunft wird RPA diese Prozesse vollkommen automatisieren.

Banken sind verpflichtet, turnusmäßig bestehende Daten über Kunden und Unternehmen zu überprüfen. Bei der Sichtung von bereits vorhandenen Daten, Validierung bestehender Daten, Ergänzung von Informationen, zum Beispiel durch automatische Sammlung im Social Media Bereich (XING, Facebook, etc.) oder über Onlinedatenbanken aus dem Amtsregister und der Zusammenführung bzw. Aktualisierung all dieser Daten in einen Kundenstamm arbeitet RPA automatisch und eigenständig.

Identifikation von Personen

In der Regel werden juristische Personen mittels Registerauszügen über amtliche Onlinepräsenzen identifiziert und die damit enthaltenen Daten und Informationen manuell durch Mitarbeiter eingepflegt und ausgewertet. Der Einsatz von RPA ermöglicht dies vollständig automatisch.

Gleiches gilt für wirtschaftlich berechtigte Personen von juristischen Personen. Gerade Banken und Versicherungen sind verpflichtet, bei Kontoeröffnungen und bestimmten Transaktionen eine Legitimationsprüfung des Kunden durchzuführen. Ein wirtschaftlich Berechtigter an einem Bankkonto oder Bankguthaben ist derjenige, für dessen Rechnung das Konto geführt wird.

Die Recherche und Kontrolle in diesem Bereich ist oft nicht nur sehr zeitintensiv, sondern auch fehleranfällig. Mit der Unterstützung von RPA kann dieser Prozess nicht nur deutlich beschleunigt, sondern auch fehlerreduziert durchgeführt werden.

Risikomanagement

Ein umfassendes und effektives Risikomanagement ist eines der wichtigsten Instrumentarien im Compliancebereich und stellt Banken und Versicherungen, aber auch jedes andere Unternehmen, täglich vor große und branchenspezifische Herausforderungen.

  • Durch geringe und teils fehlende Transparenz werden Gefahren und Risiken viel zu spät erkannt, intern nicht kommuniziert und fahrlässig unterschätzt.
  • Ein komplexes manuelles oder papierbasiertes Compliance-Management ist nicht flexibel und agil – somit sind kurzfristige und (tages-) aktuelle Reaktionen und Veränderungen kaum möglich.
  • Da sehr oft verschiedene Abteilungen autark agieren, sind Ansprechpartner oder die Verantwortlichkeiten nicht eindeutig definiert – Risiken werden dadurch zu spät erkannt oder übersehen.

Betrachtet man hier die Aufgaben eines Compliance Officers im Unternehmen, so beschäftigt sich dieser zum Beispiel in ca. 20% seiner täglichen Arbeitszeit einzig mit der Verfolgung und Aufbereitung von organisatorischen oder regulatorischen Entwicklungen. Oft kann oder bleibt hier das wichtige Segment des Risikomanagements „auf der Strecke“ bzw. Gefahren und Risiken werden zu spät erkannt bzw. auf diese wird deutlich zeitversetzt reagiert.

RPA kann und wird gerade hier die Lösung sein!

RPA – Risikobewertung


Grafik: WIRTSCHAFTScampus

Vergleicht man hier an diesem einen Beispiel einmal die Effizienz (24 Stunden / 7 Tage gegenüber 8 Stunden /5 Tage) anhand der Arbeitszeit und der Schnelligkeit eines intelligenten Software-Roboters, so erkennt man alleine schon an diesem Einsatzgebiet, dass zukünftig die Maschine den Menschen nicht ersetzen wird und kann. Aber die Produktivität und, in diesem Beispiel, die frühzeitige Erkennung und Eindämmung von externen, aber auch internen, Risiken gegen das Unternehmen als Gesamtheit oder den Menschen (Geschäftsführung, Aufsichtsrat, Anleger) wird durch Nutzung und Implementierung von RPA oder KI in naher Zukunft den täglichen Arbeitsablauf deutlich beeinflussen und verändern.

Ausblick

Das digitale Universum wächst unaufhörlich weiter. Führende Institute und Fachleute weltweit prognostizieren, dass sich die Menge der erzeugten, gespeicherten und replizierten Daten bis 2020 auf 136 Zettabytes (ZB) oder 163 Billionen Gigabyte (GB) erhöhen wird – zehnmal so viel wie 2016 mit 16,5 ZB. Das wachsende Informationsvolumen, oft unstrukturiert und über verschiedene Kanäle verteilt oder in unterschiedlichen Rechnersystemen gespeichert, wird immer überschaubarer und dadurch schwieriger zu managen.

Einsatzgebiete von RPA und KI in den kommenden Jahren


Quelle: McKinsey Global Institute analysis / Grafik: WIRTSCHAFTScampus

Nur der Mensch allein wird nicht mehr in der Lage sein, die Datenmenge und schnelle Informationsflut zu handeln bzw. die richtigen und schnellen Entscheidungen anhand von Daten und Informationen für das Unternehmen zu fällen.

Nach Dampfmaschine und Internet … kommen Roboter und die KI

Fehlende Transparenz der Datenqualität, weitsichtige Planung oder hoher manueller Aufwand und lange Bearbeitungszeiten einzelner Prozessketten werden sich zukünftig negativ auf die Betriebskosten und die Kapazitätsauslastung von Mitarbeitern auswirken. Planung und Handlungsbereitschaft ist jetzt erforderlich, um nicht den Anschluss an ein neues Zeitalter zu verpassen oder einfach zu spät zu kommen und den Anschluss zu verlieren.

Mit dem Einsatz und Nutzen von KI ist bis zum Jahr 2030 weltweit ein zusätzlicher Wertschöpfungsbeitrag von 13 Billionen US-Dollar (Mittelwert) möglich. Der Gesamtwert der globalen Waren und Dienstleistungen würde somit, zusätzlich zu sonstigem Wachstum, um durchschnittlich 1,2 Prozent steigen.

Damit wird durch die Implementierung und Nutzung einer KI ein stärkerer jährlicher Wachstumseffekte als seinerzeit durch die Dampfmaschine (plus 0,3 Prozent), durch Industrieroboter (plus 0,4 Prozent) oder die Verbreitung der Informations- und Kommunikationstechnologien (plus 0,6 Prozent) erzielt werden können.


Bis 2030 werde ein Großteil von 70 Prozent der weltweiten Unternehmen wenigstens eine der KI-Technologien einsetzen, sei es die automatische Bilderkennung, die Erkennung natürlicher Sprache, virtuelle Assistenten, Roboter-basierte Prozessautomation oder maschinelles Lernen.

Selbst wenn heute noch teils große Skepsis und Unglauben besteht oder Menschen noch immer nicht überzeugt sind oder daran glauben (möchten): Früher oder später werden die Vorteile der RPA-Technologien und die Integration von KI deutlich zu erkennen sein. Eine Beschäftigung mit dieser Thematik, eine Veränderung im Unternehmen oder die Information und Schulung von Mitarbeitern muss jetzt erfolgen!

Verschließt man sich gegen diese neuen Technologien, wird es nicht möglich sein, erfolgreich das Unternehmen zu führen oder die bestehende Marktposition zu halten bzw. zu verbessern!

Epilog:

„Der eigentliche Kern der Digitalisierung besteht darin, dass die Leistungs- und Arbeitsgesellschaft, wie wir sie bisher kannten, zu Ende geht. Und das ist ein epochaler Umbruch.“

Richard David Precht, Philosoph, Publizist und Autor

Quellenangaben:
Crossing the frontier: How to apply AI for impact, McKinsey & Company, Inc., 2018
Robotic Process Automation (RPA) im Compliance-Bereich, Deloitte GmbH Wirtschaftsprüfungsgesellschaft, 2018
Artificial Intelligence and Robotics and their impact on the workplace, IBA Global Employment Institute, 2017
RPA – kleine Programme ganz groß, PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft, 2017
Wie Unternehmen von Robotic Process Automation profitieren – Automate, Predict, Inspect, Assist, Optimize, Working Paper Scheer Holding, 2017
Robotic Process Automation – Robots conquer business processes in back offices, Capgemini Consulting and Capgemini Business Services, 2016
The rise and fall of Unimation, Inc. – Story of robotics innovation & triumph that changed the world!, Botmag.com, 2010

Compliance und Wirtschaftskriminalität 2018

 
Janus symbolisiert die Dualität in den ewigen Gesetzen, wie etwa Gut/Böse, Licht/Dunkelheit oder Zukunft/Vergangenheit. / Filmplakat von Josef Fenneker aus dem Jahr 1920.

Prolog:

„Der Bankraub ist eine Initiative von Dilettanten. Wahre Profis gründen eine Bank.“
 (Bertolt Brecht / * 10. Februar 1898 / † 14. August 1956)

 

Die Wirtschaftskriminalität ist keine neue Erscheinungsform der Kriminalität, hat weder etwas mit dem digitalen Zeitalter zu tun, noch hat sie historisch gewachsene Wurzeln. Vom Tag an, wo die Menschen begonnen haben, nicht nur für sich selbst und ihre Familie Lebensmittel anzubauen oder Waren zu produzieren, sondern für die Allgemeinheit, begann auch das Zeitalter der Wirtschaftskriminalität.

Studie Wirtschaftskriminalität 2018

Vor dem Hintergrund der aktuellen Gefährdung in der analogen und digitalen Geschäftswelt hat PricewaterhouseCoopers GmbH (PwC) gemeinsam mit der Martin-Luther-Universität Halle-Wittenberg die aktuelle Studie „Wirtschaftskriminalität 2018“ im Februar 2018 vorgelegt.

Die Studie basiert auf 500, im zweiten Halbjahr 2017, durchgeführten Telefoninterviews mit Unternehmensvertretern in Deutschland, die für den Themenbereich Kriminalitätsprävention und -aufklärung zuständig sind. Dazu wurden mit 32 Unternehmen persönliche, ergänzende Interviews zu ausgewählten Fragen durchgeführt, um vertiefende Berichte und Einschätzungen zu erhalten. Zentrale Ergebnisse der Studie sind unter anderem:

  • Gravierender Anstieg von Cybercrime
    Jedes zweite Unternehmen wurde angegriffen. Durchschnittlich verursachter Schaden lag bei 183.000 Euro.
  • Versuche von CEO-Fraud rasant auf dem Vormarsch
    Bei 40% der Unternehmen wurde der Versuch gemacht, durch gefälschte Mails oder auch Briefe Geld auf Betrügerkonten im Ausland zu überweisen. 5% waren erfolgreich!
  • Compliance-Programme müssen spezifiziert und ausgeweitet werden
    Neben dem immer wichtiger werdenden Oberbegriff Tax Compliance liegt eine deutliche Fokussierung der Spezialisierungen auf den Segmenten Korruption (83%), Kartellrecht (62%) und Geldwäsche (65%).
  • Aufstockung der internen Compliance-Abteilungen
    Nicht nur bei Groß- und börsenorientierten Unternehmen sondern auch bei KMUs ist Compliance nicht nur angekommen, sondern (gerade auch im Segment der KMUs) wird die interne Compliance-Abteilung deutlich ausgebaut.
  • Lieferanten und Dienstleister in der Compliance-Verantwortung
    Compliance ist (auch) als Reputations- und Marketinginstrument angekommen. Die deutliche Mehrheit der Befragten (82%) setzt bei der Vergabe von Aufträgen voraus, dass im Unternehmen ein CMS installiert ist. Ausdrücklich gilt dies auch für KMUs.

Bevor nun in diesem Blogbeitrag grundlegende Ergebnisse, aktuelle Trends und Gefährdungen aufgezeigt und analysiert werden, zuerst eine Einführung sowohl zur Historie der Wirtschaftskriminalität als auch zu zwei spektakulären Fällen aus den letzten Jahrzehnten.

Wirtschaftskriminalität: von 3.500 vor Christus bis heute

Als Beginn der schriftlichen Buchhaltung gelten Tontafeln der Sumerer aus der Zeit um 3.500 vor Christus für den Wareneingang von Brot und Bier in Keilschrift.


Foto: Tontafel der Sumerer aus dem Louvre (Paris), Poulpy, gemeinfrei

Um die Waren genau zu erfassen und einem betrügerischen Handel von Tempelangehörigen oder Diebstahl zuvorzukommen, verwendeten sie auf diesen Tafeln bis heute in der Buchhaltung gängige Symbole wie „Komma“, „Strichpunkt“ oder einen „Prüfhaken“. Schon zu dieser Zeit zeigt sich, dass Wirtschaftskriminalität immer eine Gefahr war und Gegenmaßnahmen forderte.

Doch wie definiert sich Wirtschaftskriminalität?

Wirtschaftskriminalität ist die Summe der Straftaten, die in Unternehmen, an Unternehmen und durch Unternehmen begangen werden. Diese schließen auch die Mitarbeiterkriminalität mit ein. Herauszuheben ist, dass ein kriminelles Verhalten der Mitarbeiter nur ein Teilbereich ist. Die kriminellen Handlungen können sich dabei gegen Privatpersonen, andere Unternehmen oder den Staat richten. Typische Delikte der Wirtschaftskriminalität definieren sich zum Beispiel in:

  • Betrug und Falschbilanzierung
  • Geldwäsche und Insiderhandel
  • Insolvenzdelikte und Korruption
  • Produktpiraterie und Prospektbetrug
  • Steuerstraftaten und Subventionsbetrug
  • Unterschlagung, Untreue und Wirtschaftsspionage

Vom Dreieck zum Diamanten: Das Fraud Triangle

Um die Mitte des 20. Jahrhunderts untersuchte der amerikanische Soziologe und Kriminologe Donald R. Cressey die Ursachen wirtschaftskrimineller Handlungen und prägte im Jahr 1939 bei einem Vortrag in der American Sociological Society den bis heute genutzten Begriff „White Collar Crime“ für die Umschreibung von Wirtschaftskriminalität.

Dabei entwickelte er einen der bekanntesten Erklärungsansätze der Entstehungsgründe doloser Handlungen, das Fraud Triangle. Der von Cressey vorgestellte Ansatz wird auch als Strategisches Dreieck, Doloses Dreieck, Fraud Dreieck oder Kriminalitätsrisiko-Modell bezeichnet und beruht auf Befragungen von verurteilten Wirtschaftsstraftätern.

 


Grafik: WIRTSCHAFTScampus

Bis heute hat diese Darstellung nicht an Aktualität verloren und wurde im Jahr 2004, nach über 60 Jahren, um einen weiteren Faktor, die Fähigkeit zur Tat, ergänzt. Es entstand der neue Begriff des „Fraud Diamond“.

Arbeiter und Schlipsträger

Gleiches gilt auch für den Begriff „White Collar Crime“, der später noch um den Terminus „Blue Collar Crime“ ergänzt wurde, um verschiedene Delikte und vor allem Tätergruppen sowohl im Unternehmen als auch – gerade beim Begriff Blue Collor Crime – gekündigte und arbeitslos gewordene ehemalige Mitarbeiter, zu unterscheiden.

Das englische Wort Collar steht hier einerseits für den weißen Kragen eines Businesshemdes als auch für den blauen Kragen oder Arbeitsanzug (Blaumann), in dem seit ca. 1915 Arbeiter in den USA, später auch in anderen Ländern, täglich ihrer Arbeit nachgingen. Handelte es sich bei Delikten der Blue Collar Crime meist um Verbrechen wie Raub oder Erpressung, so definierten sich die Delikte der White Collar Crime von Beginn an im Umfeld der Korruption, der Geldwäsche oder des Verkaufs von Firmengeheimnissen an die Konkurrenz.


Grafik: WIRTSCHAFTScampus

In der Literatur werden Delikte wie Wertpapierbetrug oder Korruption einerseits immer noch mit Wirtschaftskriminalität oder White Collar Crime bezeichnet, andererseits sind aber auch neue Termini wie unter anderem Finanzbetrug auszumachen. Die oft länderübergreifenden Sachverhalte der Delikte stellen dabei die verfolgenden Behörden infolge der vielen Verschleierungsmöglichkeiten vor große Probleme.

Die wirtschaftliche Entwicklung infolge der Globalisierung seit der Wende vom 20. zum 21. Jahrhundert, die digitalen Technologien und das Zurückdrängen von rechtlich-verbindlichen Dokumentations- bzw. Formvorschriften haben zu einer neuen Dimension von Wirtschaftsdelikten geführt.

Was aber heißt Wirtschaftskriminalität in der Praxis? Hierzu zwei Beispiele, die darstellen sollen, in welchen Dimensionen sich Kriminalität mit Kreativität treffen können.

Ein Betrüger gegen 45.000 Anwälte

Bernard Lawrence „Bernie“ Madoff, geboren im Jahr 1938 New York, ist ein Anlagebetrüger und ehemaliger Finanz- und Börsenmakler. Bevor seine betrügerischen Machenschaften aufgedeckt wurden, war er ein hoch angesehener Wertpapierhändler und Vorsitzender der Technologiebörse NASDAQ. Der Whistleblower Harry Markopolos entdeckte Madoffs Anlagebetrug bereits im Jahr 1999, wurde jedoch von der US-Börsenaufsichtsbehörde SEC zunächst jahrelang ignoriert.

Jahrzehntelang betrieb Madoff einen Investmentfonds auf der Basis des so genannten Ponzi-Systems. Der Gesamtumfang des Schadens wurde zu Beginn des Prozesses auf mindestens 65 Milliarden Dollar (rund 51 Milliarden Euro) veranschlagt, die Zahl der Geschädigten auf 4.800.

Die 5 Hauptgeschädigten des Madoff – Investmentfonds


Quelle: AFP news agency, China / Sina Corporation, Shanghai / 2009
Grafik: WIRTSCHAFTScampus

Der Fall betraf im April 2009 weltweit rund drei Millionen Personen direkt oder indirekt. Rund 300 Anwaltskanzleien und 45.000 Anwälte haben sich weltweit mit diesem Fall befasst. Madoff wurde schließlich am 29. Juni 2009 zu 150 Jahren Haft und einer Strafe von 170 Millionen Dollar verurteilt.

Das Ponzi-Schema

Obwohl das Ponzi-Schema zum Teil fälschlicherweise als Synonym für das Schneeballsystem verwendet wird, unterscheidet es sich in mehreren Punkten von diesem. Gemeinsam an beiden Systemen ist, dass die Anzahl der Teilnehmer exponentiell steigen muss, um nicht zu kollabieren, und dass mit den Beiträgen neuer Teilnehmer die Gewinnausschüttungen der bestehenden Teilnehmer gedeckt werden. Hauptsächlicher Unterschied ist, dass beim Schneeballsystem dem „Kunden“ die Quelle der Gewinnausschüttung bekannt ist (er wirbt sie selbst an), die Urheber des Systems sind ihm aber unbekannt.

Hingegen ist beim Ponzi-Schema der Urheber des Systems jedem „Kunden“ bekannt, während ihm die Quelle der Gewinnausschüttungen verschleiert wird. Doch wer hat das Ponzi-Schema erfunden und geprägt?

 

Ein Italiener in New York

Der Begriff Ponzi-Schema wurde in den USA geprägt und geht auf den Betrüger Charles Ponzi, geboren im Jahr 1882 in Parma, Italien, zurück. Ponzi wanderte im November 1903 mit 2,50 Dollar in die USA ein. Er arbeitete in einem Restaurant, nachdem er schnell Englisch gelernt hatte. Zunächst schlief er auf dem Boden des Restaurants und konnte sich bald zum Kellner hocharbeiten. Nach Betrügereien wurde er entlassen.

Im Jahr 1907 zog er nach Kanada. Als Bankangestellter sah er, wie sein Chef, der Bankier Luigi Zarossi, italienische Neuankömmlinge mit sechs Prozent Jahreszins lockte, das Doppelte des damals üblichen Zinssatzes. Zarossi geriet jedoch in Schwierigkeiten und beglich die fälligen Zinsen durch Plünderung der Konten von Neuanlegern. Mit dem Gewinn setzte sich Zarossi nach Mexiko ab.

Ponzi lebte nun im Haushalt der von Zarossi verlassenen Familie und plante seine Rückkehr in die Vereinigten Staaten. Zwecks Finanzierung suchte er das Büro eines ehemaligen Zarossi-Kunden auf und stellte sich dort, unbeobachtet, im Namen des Chefs einen Scheck in der Höhe von 423 Dollar aus. Dafür wurde er wegen Betrugs zu drei Jahren Gefängnis verurteilt. Nach seiner Entlassung gründete er zunächst ein Unternehmen, mit dem er versuchte, in den USA Branchenbücher zu verkaufen, doch er scheiterte nach kurzer Zeit.

Kurz nach dem Bankrott erhielt er Post von einer Firma aus Spanien, die sich für einen Katalog interessierte und dem Brief einen Internationalen Antwortschein beifügte. Anfangs war der Geldwert eines solchen Antwortscheins noch an die Währung gekoppelt; als die europäischen Währungen jedoch zu Beginn des 20. Jahrhunderts dramatisch an Wert zu verlieren begannen, konnte man in Europa einen Schein für den Bruchteil des in den USA üblichen Preises erwerben.

Ponzi warb Mitarbeiter an, die in Europa ebendiese Scheine kauften, um sie dann in den USA wieder zu veräußern. 1920 konnte man in Spanien für umgerechnet einen US-Cent einen Antwortschein kaufen, der in den USA selbst 6 Cent wert war. Die damals langen Postlaufzeiten und die Bürokratie im internationalen Postverkehr verhinderten aber ein profitables Geschäft.

In der Folge warb Ponzi Kunden an, die Geld in diese Antwortscheine investierten. Zu diesem Zweck gründete er in Boston die Firma „Securities Exchange Company“. Ponzi versprach 50% Rendite in 45 Tagen oder die Verdoppelung des angelegten Geldes in 90 Tagen. Weil das Geschäft so blendend lief – er zahlte, wenn jemand seinen Gewinn sehen wollte –, forderten die vertrauensseligen Kunden ihre Einkünfte nicht ein und ließen ihre „Gewinne“ wieder reinvestieren. Viele Menschen verpfändeten ihr Haus und ihre Habseligkeiten, um nach der Ponzi-Methode reich zu werden.

Geld, mehr Geld und noch mehr Geld

In wenigen Monaten des Jahres 1920 vergrößerte Ponzi sein Vermögen von wenigen Tausend Dollar auf Millionen. Das Geld wurde in Schubladen, in Papierkörben und auf dem Boden gelagert und gestapelt.

Als aber ein Möbelhändler bei Ponzi erfolglos Geld einforderte, wurden die Medien auf seinen Reichtum aufmerksam. Die Kunden verlangten ihr Geld zurück und Ponzi befriedigte ihre Forderungen. Doch die Investoren waren beunruhigt. Als das Finanzamt schließlich sein Vermögen unter die Lupe nahm, fand man in seinem Besitz nur wenige Antwortscheine.

Man errechnete, dass er für das eingenommene Geld 160 Millionen derartiger Scheine hätte kaufen müssen – doch im Umlauf waren zu dieser Zeit nur 27.000. Als die Presse von seinen Vorstrafen berichtete, erkannten die Anleger den Betrug und verlangten ihr Geld zurück. Insgesamt waren Ponzi 15 Millionen Dollar von rund 40.000 Kunden anvertraut worden; bei der Durchsuchung seiner Büros wurden nur 1,5 Millionen sichergestellt.

Ponzi wurde verhaftet und zu einer langjährigen Gefängnisstrafe verurteilt. Nach weiteren Betrugsversuchen und Haftstrafen verstarb er, krank und völlig verarmt, im Jahr 1949 in Brasilien.

Wirtschaftskriminalität 2018 – Analog vs. Digital

In aktuellen Wirtschaftswachstumsmodellen gilt Wirtschaftskriminalität als einer der langfristigen und nachhaltigen Faktoren, die das staatliche Gemeinwesen und das Wirtschaftswachstum negativ beeinträchtigen.

Auf globaler Ebene gelten daher die Bekämpfung von Wirtschaftskriminalität wie Korruption, Geldwäsche und Steuerhinterziehung und die Schaffung von Möglichkeiten zu deren Aufdeckung, verbunden mit Rechtssicherheit als Schlüssel zu Innovation, Produktivität und Wohlstand.

Genau hier setzt die Studie von PwC, für die 500 Unternehmen aus allen Größen und Branchen in 2017 befragt wurden, an und stellt als eine der Hauptaussagen klar fest, dass zwar die analoge Gefahr von innen und außen gegenüber dem Unternehmen rückläufig (Abnahme um 6% gegenüber 2015), die Bedrohung durch Cybercrime aber deutlich gestiegen ist. Fast jedes zweite befragte Unternehmen, gleich welcher Größe und Branche war von Cybercrime betroffen.

Von Cybercrime betroffene Unternehmen – Top 3 Delikte


Basis: n=500 / Quelle: Studie Wirtschaftskriminalität 2018 / PwC
Grafik: WIRTSCHAFTScampus

Besonders herauszuheben ist die Gefahr durch CEO-Fraud. Hier ist laut dem BKA ein überproportional hoher Anstieg zu verzeichnen. Seit dem Jahr 2014 hat sich die Zahl der Delikte in diesem Bereich der Computerkriminalität verdreifacht, die Schadenssumme stieg lt. dem BKA innerhalb eines Jahres um 61% auf 75,2 Millionen Euro.

Was bedeutet CEO-Fraud?

CEO-Betrug ist eine Variante des Social Engineering, also der gezielten Manipulation von Menschen, in diesen Fällen Mitarbeiter des Unternehmens, die von den Angreifern mit großem Aufwand betrieben wird. Zu den technischen Grundfertigkeiten der Angreifer gehört das Ausspähen von Informationen über Unternehmen und Mitarbeiter. Hier werden verschiedene Quellen genutzt: die Unternehmenswebseite, Presse und Börsenmitteilungen, Einträge in sozialen Medien und im Handelsregister.

Häufig haben die Angreifer im Vorfeld telefonischen Kontakt mit Mitarbeitern aufgenommen, um Ansprechpartner und weitere Details über das Unternehmen in Erfahrung zu bringen. Weiterhin werden bei der Vorbereitung und Durchführung des Verbrechens auch Techniken genutzt, die bei einem Anruf dem Opfer eine bekannte Rufnummer vortäuschen.

Rechtschreibfehler oder fehlerhafte Grammatik in betrügerischen Mails waren gestern! Heute werden die an die Opfer versendeten E-Mails mit großer Professionalität und Sorgfalt vorbereitet und zugestellt. Der Angreifer gibt sich als Geschäftsführer (CEO), Finanzchef (CFO) oder ein vergleichbares Mitglied der Geschäftsleitung aus und versucht, das Opfer zur schnellstmöglichen und zugleich vertraulichen Überweisung von größeren Geldbeträgen zu veranlassen.

Um das Opfer von der Echtheit der Anfrage zu überzeugen, verwendet der Angreifer häufig korrekte Absenderadressen und imitiert durch Wortwahl, Signatur und Bilder die echten E-Mails aus der Chefetage so gut, dass auf den ersten Blick nichts Ungewöhnliches auffällt. Häufig werden auch real existierende Mitarbeiter als Referenz zur Verifikation der Rechtmäßigkeit der Transaktion angegeben, die das Opfer dann aber angesichts des simulierten Zeitdrucks nicht kontaktiert.

Ein Beispiel: Die Mitarbeiterin einer deutschen Landesbehörde wurde per Mail „persönlich beauftragt“, eine „vertrauliche Finanztransaktion“ in Höhe von 961.000 Euro sofort und dringlich durchzuführen. Der Mail-Verkehr, der vorgeblich vom Präsidenten des Amtes stammte, wurde durch einen Anruf einer angeblichen Anwältin begleitet, die der Aufforderung Nachdruck verleihen sollte.

CEO-Fraud in 2018 angekommen

Die Ergebnisse der aktuellen Studie zeigen deutlich auf, dass CEO-Fraud eine der ernstzunehmenden Bedrohungen für ein Unternehmen ist. Innerhalb der Studie berichten 40% der befragten Unternehmen über einen Betrugsversuch, bei 5% war dieser sogar erfolgreich.

Von CEO-Fraud betroffene Unternehmen in den letzten 2 Jahren


Basis: n=500 / Quelle: Studie Wirtschaftskriminalität 2018 / PwC
Grafik: WIRTSCHAFTScampus

Neben diesen (direkten) Angriffen auf Mitarbeiter ist die Zahl der Erpressungsversuche und der Sabotage auf firmeneigene Webseiten in den letzten beiden Jahren deutlich angestiegen. Hier lauert die Gefahr sowohl durch die schadhafte Installation von Viren und Trojanern als auch über den direkten Angriff auf die Webseite des Unternehmens von externen Kriminellen.

Mit „Distributed Denial of Service“-Attacken (DDoS) verfolgen Angreifer das Ziel, Server oder IT-Systeme mit einer großen Anzahl an Anfragen zu bombardieren, bis diese ihren Dienst einstellen und Websites oder andere Internet-Services nicht mehr aufrufbar sind.

Hintergrund dieser DDoS sind häufig persönliche, politische oder wirtschaftliche Interessen der Angreifer. Treffen können diese Angriffe einzelne Rechner im Unternehmen oder auch die gesamte Netzwerkstruktur im Unternehmen, die Firmenwebseite oder einen Onlineshop. Ziel ist in den meisten Fällen die Zahlung eines „Lösegeldes“ an die virtuellen Erpresser.

Die Bedrohung durch Cybercrime ist jetzt und in der Zukunft nicht mehr aufzuhalten! Betrachtet man alleine die Verdachtsfälle aus 2017, so zeigt sich schnell, dass immer mehr Formen und Möglichkeiten des Verbrechens aus einer Schattenwelt im normalen Licht der täglichen Gefahren für jedes Unternehmen angekommen sind, aber auch teils erst langsam, zum Beispiel durch fehlende Technik oder Spezialisten, erkannt werden. Das Zeitalter und die Bedrohung durch Cybercrime haben gerade erst begonnen und stecken, im Ausblick auf die nächsten Jahre, noch in den Kinderschuhen.

Verdachtsfälle auf Cybercrime


Basis: n=500 / Quelle: Studie Wirtschaftskriminalität 2018 / PwC
Grafik: WIRTSCHAFTScampus

Wenn das 20. Jahrhundert von der Weltwirtschaftskrise, dem ersten und zweiten Weltkrieg und dem Kampf um Demokratie über nationalstaatliche Grenzen hinaus geprägt war, wird das Schicksal aller (demokratischer) Staaten, ihrer freiheitlichen Verfassungsgrundsätze und ihrer Volkswirtschaften im 21. Jahrhundert im direkten Umfeld der Bedrohung durch Cybercrime und deren Auswirkungen und Begleiterscheinungen auf weitere IT-Formen wie die Social Media Nutzung oder die Verwendung von Smartphones entschieden werden.

Cybercrime vs. Korruption

Dies zeigt sich umso mehr, wenn man das meist analoge Verbrechen der Korruption mit den Gefahren des Cybercrime in ein direktes Verhältnis setzt. Nur noch 6% der befragten Unternehmen waren in 2017 von Korruption betroffen, die Verdachtsfälle der Korruption nahmen gegenüber 2015 (hier 19%) auf 11% ab.

Ein deutlicher Rückgang, der in der direkten Gefahr und der Bedrohung durch den neuen internen oder externen Aggressor Cybercrime und dessen Anstieg im Unternehmen (47% bezeichnen sich selbst als Opfer von Cybercrime) in ein Verhältnis gebracht werden muss.

Compliance im Unternehmen integriert – nun geht die Arbeit erst richtig los!

Compliance ist in den letzten Jahren angekommen. Nicht nur bei 97% der Großunternehmen (10.000 Mitarbeiter aufwärts) sondern auch im Bereich der KMUs in Deutschland mit mehr als 500 Mitarbeitern. Hier haben bereits 75% eine Compliance-Struktur installiert, weitere 10% befinden sich in der Planungs- bzw. Realisierungsphase.

Aber auch für kleine Unternehmen, gerade aus dem klassischen Zulieferer- und Dienstleisterbereich, wird Compliance, sowohl wegen der (weiteren) zukünftigen Zusammenarbeit mit Großunternehmen im In- und Ausland als auch aus Marketing- und Reputationsgesichtspunkten, ein immer wichtigeres Thema.

Für die Unternehmen selber gilt es, neue Anforderungen im Bereich Compliance in ein CMS zu integrieren oder bereits bestehende Aufgabenfelder im Umfeld der Compliance ständig zu aktualisieren. Themen und Aufgabenbereiche gibt es viele.

Aufgaben eines Compliance Management Systems (CMS)


Basis: n=500 / Quelle: Studie Wirtschaftskriminalität 2018 / PwC
Grafik: WIRTSCHAFTScampus

Auch hier wird noch einmal die zwingende Aktualität und Gefahr von Cybercrime deutlich, da diese im Jahr 2015 (kaum) ein Thema war und innerhalb von zwei Jahren bei mehr als 50% der befragten Unternehmen als größere interne und externe Bedrohung angekommen ist.

Auswirkungen eines Compliance Management Systems (CMS)

Der Bundesgerichtshof (BGH) hat sich in einem Urteil vom 9.5.2017 – 1 StR 265/16 – erstmals zur bußgeldmindernden Wirkung von Compliance-Management-Systemen (CMS) geäußert. Mit diesem Urteil aus dem Jahr 2017 wird einem CMS damit erstmals eine konkrete Haftungsvermeidung und Sanktionsreduzierung zugesprochen.

Ein CMS kann und wird also zukünftig im Unternehmen und für die Geschäftsführung oder den Aufsichtsrat noch wichtiger und hilfreicher sein als bisher. Bisher ist es in Deutschland noch keine gesetzliche Pflicht für ein Unternehmen, ein CMS einzuführen.

Spürbar ist aber, dass eine Pflicht für Compliance immer mehr in Deutschland etabliert werden soll. Dies gilt vor allem für Banken, Versicherungen und Finanzdienstleistungen, die der Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterliegen.

Beispiel Tax Compliance

Aber auch im Steuerrecht hat Compliance Einzug gefunden. Mit dem Anwendungserlass zu § 153 AO hat sich das Bundesministerium für Finanzen (BMF) bereits in 2016 zur Thematik und der Wirkung eines Tax Compliance Management-Systems (Tax CMS) im Unternehmen geäußert. Danach kann bei Berichtigungserklärungen ein Tax CMS ein Indiz gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit darstellen und damit zugunsten des Steuerpflichtigen wirken, indem die Anzeige als Korrektur gemäß § 153 AO und nicht als Selbstanzeige nach § 371 AO gewertet wird.

Dem Urteil des BGH liegt ein Fall von Steuerhinterziehung und Bestechung zugrunde. Infolgedessen wurde ein Mitarbeiter zur Beihilfe der Steuerhinterziehung verurteilt und gegen das Unternehmen als Nebenbeteiligte gemäß § 30 OWiG ein Bußgeld in Höhe von 175.000 Euro vom LG München verhängt.

Im BGH-Urteil wird die Beanstandung der Geldbuße als unbegründet zurückgewiesen. Nach dem BGH ist für die Bemessung der Geldbuße nach § 30 OWiG entscheidend, ob zum Tatzeitpunkt ein effektives CMS zur Vermeidung von Rechtsverstößen im Unternehmen implementiert war. War also zum Tatzeitpunkt ein effektives CMS installiert, wirkt sich dies bußgeldmindernd aus.

Deutliche Strafminderung durch das CMS im Bezug auf § 130 OWiG


Basis: n=500 / Quelle: Studie Wirtschaftskriminalität 2018 / PwC
Grafik: WIRTSCHAFTScampus

Innerhalb der aktuellen Studie wurden bereits betroffene Unternehmen in Zusammenhang mit einem Wirtschaftsdelikt nach § 130 OWiG gefragt, inwieweit sich dieses Urteil ausgewirkt hat. Hier geben über ein Drittel (37%) an, dass ein vorhandenes CMS die Höhe der Geldbuße gegen das Unternehmen deutlich positiv beeinflusst hat.

Noch ein gravierender Grund für ein aktuelles CMS ist, dass bei 43% der betroffenen Unternehmen die Installation und das Vorhandensein eines CMS die Einstellung des Verfahrens zur Folge hatte. Selbst die nachträgliche Zusage, ein noch nicht vorhandenes CMS einzuführen, konnte sich positiv auf die Höhe einer Geldstrafe auswirken.

Entwicklung und Anforderung an das CMS


Basis: n=500 / Quelle: Studie Wirtschaftskriminalität 2018 / PwC
Grafik: WIRTSCHAFTScampus

Daher steigen die Anforderungen und die ständige Aktualisierung eines (bestehenden) CMS deutlich in den nächsten Jahren an. Spezialisierungen, wie zum Beispiel die Ausbildung eines speziellen Tax Compliance Officers (TCO) oder eines Spezialisten für IT – Compliance, auch im Hinblick auf die Verhinderung von Cybercrime, werden zwangsläufig an Wichtigkeit zunehmen und auch so von den befragten Unternehmen eingeschätzt.

Vertrauen ist gut – Kontrolle ist besser!

Die Gefährdungen und Risiken gegen das eigene Unternehmen, die von Geschäftspartnern, Lieferanten, Großhändlern oder Außendienstmitarbeitern und Handelsvertretern ausgehen können, sind allgegenwärtig und, gerade auch durch die immer mehr zunehmende Globalisierung und Digitalisierung, groß: Kriminelles und rechtswidriges Verhalten der Geschäftspartner kann zu hohen finanziellen Verlusten durch Geldstrafen, Bußgelder und Schadensersatzzahlungen aber auch zu schwerwiegenden Reputationsschäden führen.

Mindestens genau so gefährlich wiegt der drohende Ausschluss von öffentlichen Aufträgen oder der Abbruch von Geschäftsbeziehungen. Letztlich setzen Unternehmen ihr Image und ihre Reputation aufs Spiel, wenn sie ihre Lieferanten und Dienstleister nicht sorgfältig auswählen und nachhaltig kontrollieren.

Es ist nicht verwunderlich, dass 82% der befragten Unternehmen, gleich welcher Größe oder Branche, in 2017 (gegenüber 72% in 2015) angeben, dass es ihnen sehr wichtig oder wichtig ist, dass ihre Lieferanten und Geschäftspartner über ein CMS verfügen. Hier ist der Anstieg von 10% gegenüber 2015 ein deutliches Zeichen, wie nachhaltig ein CMS, gerade auch im Hinblick auf verkaufsorientierte und marketingspezifische Aspekte, ist.

Sollte es noch kein CMS bei einem Zulieferer oder Dienstleister geben, so ist es mittlerweile gängige Praxis, hier explizit nachzufragen, wann ein solches System eingeführt wird. Genau dies zeigt sich auch in der aktuellen Studie, da es nach heutigem Stand für ein Drittel (33%) der Unternehmen bereits zur Normalität gehört, sich von einem Lieferanten und Dienstleister die Einhaltung eines Code of Conduct vor der Auftragsvergabe vertraglich zusichern zu lassen.

Keine Compliance – keine Aufträge!

In den letzten zwei Jahren hat sich gerade bei mittelständischen Unternehmen einiges geändert. War das Thema Compliance im Unternehmen bis vor kurzem noch ein Instrument für „die ganz Großen“, so ist Compliance deutlich im täglichen Umfeld der KMUs angekommen und wird sich auch in den nächsten Jahren hier massiv positionieren.

Verträge und schriftliche Vereinbarungen, die KMUs schließen, beinhalten nun Compliance-Haftungsklauseln und somit üben KMUs deutlich mehr Druck auf deren (kleinere) Lieferanten und Dienstleister bei Vertragsvergaben als noch vor 2 Jahren aus. In Zahlen drückt sich dieses sehr drastisch mit einem deutlichen Anstieg von 16% innerhalb von 2 Jahren aus. Hier gilt zukunftsweisend der einfache Satz: Ohne Compliance auch kein Auftrag an das eigene Unternehmen oder eine Zusammenarbeit mit einem anderen Unternehmen!

Auch greift hier der Aspekt der Nutzung von Compliance als Marketinginstrument. Compliance soll und wird kommuniziert und stellt das eigene Unternehmen als vertrauenswürdig und zukunftsorientiert da. Immer mehr Unternehmen gelingt es mit Erfolg, ihr CMS am Markt und im Wettbewerb erfolgreich zu kommunizieren.

Compliance Branding

Doch ist Kommunikation nach außen erst der Beginn der Wichtigkeit von Compliance im Umfeld des Marketings. Bereits jetzt orientieren sich einige Unternehmen wie zum Beispiel Audi mit ihrem Claim „Protect what you love“, die Metro Gruppe („Simply Right“) oder die Deutsche Post („Compliance for better business“) auf das Compliance Branding, und die Entwicklung von eigenen Compliance-Marken und -Produkten steht erst am Anfang einer deutlichen Kommunikation des Begriffes Compliance im Segment Marketing.

Das (Compliance-) Branding definiert sich in der Entwicklung einer Marke, welche ein starkes und wichtiges Aushängeschild für ein Unternehmen oder einen Konzern ist. Das Hauptziel des Brandings ist es, die eigenen Dienstleistungen und Produkte vom Angebot der Wettbewerber abzugrenzen und mit konkreten Botschaften und Emotionen zu assoziieren. Beispiele für erfolgreiches Branding sind zum Beispiel die lila Kuh von Milka oder die Marke Coca Cola, die weltweit erfolgreich kommuniziert wird und in allen Altersgruppen rund um den Globus bekannt ist.

Sicher steht hier die Compliance in einem (noch) neuen Umfeld und vor neuen Aufgaben, doch auch gerade im Hinblick auf digitale Instrumentarien und immer neue Werbemöglichkeiten im nationalen und internationalen Umfeld stehen hier Erfolge und Schutz des Unternehmens auf einer Stufe mit neuen Aufgaben im Bereich des erfolgreichen nationalen und globalen Marketings.

Compliance als Marketing-Vorteil

Vergleicht man laut der Studie den Zeitraum zwischen 2011 und 2017, so hat die Anzahl der Unternehmen, die Compliance als gravierenden Wettbewerbsvorteil sehen, von 16% im Jahr 2011 auf 24% im Jahr 2017 zugenommen. Auch hier gilt dies ausdrücklich nicht nur für Großunternehmen, denn im Jahr 2017 beurteilen 41% der befragten KMUs, dass sie Compliance und ihr CMS als Wettbewerbsvorteil gegenüber Konkurrenten nutzen.

Wie wichtig sich mittlerweile Compliance als Marketinginstrument definiert, zeigt eine aktuelle Studie aus 2017, in der über 400 leitende Mitarbeiter aus kleinen, mittleren und großen Unternehmen zu genau dieser Thematik befragt wurden:

„Wer hat ein überdurchschnittliches und nachweisbares Interesse an einem funktionsfähigen Compliance Management Systems (CMS) außerhalb Ihres Unternehmens?“


Basis: n=422, Mehrfachnennungen möglich, Top 5 / Quelle: Studie The Future of Compliance 2017 / Deloitte / Quadriga Hochschule / Compliance Manager Magazin
Grafik: WIRTSCHAFTScampus

Compliance tritt aus der „Einseitigkeit der Prävention“ heraus und definiert sich jetzt und zukünftig als ein vielseitiges Instrument in der Außendarstellung und für ein erfolgreiches Unternehmen, und dies ausdrücklich größenunabhängig und branchenübergreifend!

Ausblick: Auf Korruption folgt Cybercrime

Die Gefahr von Korruption im Unternehmen nimmt ab. Sicherlich auch ein Erfolg der Durchsetzung von Compliance-Richtlinen oder der Integration eines Compliance Officers und eines CMS´s im Unternehmen, da in den letzten Jahren der Focus im Bereich Compliance deutlich auf der Prävention von Korruption lag.

Betrachtet man die sinkenden Werte der Studie von 2017, so waren nur noch 6% der befragten Unternehmen von Korruption aktuell betroffen, die Verdachtsfälle sanken sogar von 19% im Jahr 2015 auf 11% im Jahr 2017. Bei Großunternehmen sind es mittlerweile 97%, die ein Anti-Korruptionsprogramm in ihrem CMS fest verankert haben, aber auch bei KMUs sind es schon über 60% der Unternehmen, die sowohl ein Compliance Management Programm als auch Mitarbeiter im Segment Compliance zur Verhinderung von Korruption installiert haben.

Trotz dieses Rückgangs ist es wichtig, das CMS aktuell zu halten, Mitarbeiter im Bereich Compliance weiterzubilden bzw. zu spezifizieren und gleichzeitig sich auf die kommende Gefahr Cybercrime in den nächsten Jahren durch (neue) Instrumentarien im Bereich Compliance zu schützen.

Die Studie zeigt deutlich, dass die Gefahr Cybercrime bereits angekommen ist und nun sehr massiv in den nächsten Jahren Unternehmen bedrohen wird. Die Vielzahl neuer Technologien, welche heute noch teilweise unterschätzt, aber sehr bald zum täglichen Ablauf im Unternehmen gehören werden, wie:

  • Big Data
  • Cloud Services
  • Künstliche Intelligenz
  • Machine- oder Deep Learning
  • Augmented Reality und Virtual Reality

bieten immer neue Angriffsmöglichkeiten für Hacker und Cyberkriminelle. Nur ein Beispiel:

Nach Prognose und Überzeugung im IT-Umfeld werden bis zum Jahr 2020 zwischen 25% und 30% aller im Außendienst beschäftigten Techniker und Wissenschaftler Hilfsmittel wie eine VR-Brille in Verbindung zu Technologien der Augmented-Reality (Erweiterung der Realitätswahrnehmung, wie die Ergänzung von Bildern oder Videos mit computergenerierten Zusatzinformationen, durch einen Computer) bei der täglichen Arbeit nutzen.

Die virtuelle und die physische Welt im Unternehmen wird zukünftig immer mehr in einer virtuellen Umgebung, in der sich die Mitarbeiter frei bewegen können, zusammenwachsen. Dies kann und wird aber auch eine neue Dimension des Schutzes von zum Beispiel Firmengeheimnissen bedeuten und somit neue Anforderungen an die Compliance richten.

EU-Datenschutzgrundverordnung (DSGVO) in 2018

Durch die Einführung der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden gesetzeskonforme Datenverarbeitungen und -übertragungen für jedes Unternehmen und jede Organisation zur Pflicht. Nichteinhaltungen werden mit empfindlichen Strafen belegt.

Ein wichtiger Schwerpunkt in der EU-Datenschutzgrundverordnung beinhaltet den Datenschutz im Unternehmen. Hierbei handelt es sich in erster Linie um den Umgang und die Dokumentation personenbezogener Daten im Unternehmen. Es gilt aber als sicher, dass dies nur ein wichtiger Aspekt ist, weitere Inhalte zur Prävention von Cybercrime werden folgen, und es werden, als Ausblick auf die nächsten Jahre, noch Anforderungen für ein CMS und Gefahren gegen das Unternehmen folgen, die heute noch gar nicht beurteilt werden können.

Compliance, die Ausbildung von Compliance-Mitarbeitern und die ständige Aktualisierung des Compliance Management Systems werden auch in Zukunft eine der wichtigsten Aufgaben im Unternehmen bleiben.

Epilog:
„Anders als unser Intellekt verdoppeln Computer ihre Leistung alle 18 Monate. Daher ist die Gefahr real, dass sie Intelligenz entwickeln und die Welt übernehmen.“
Stephen Hawking, Physiker und Astrophysiker, * 8. Januar 1942 / † 14. März 2018

Quellenangaben:

Veröffentlichung: „Studie: Wirtschaftskriminalität 2018 – Mehrwert von Compliance – forensische Erfahrungen“, PricewaterhouseCoopers GmbH (PwC), 2018

Veröffentlichung: „Die Lage der IT-Sicherheit in Deutschland 2017“, Bundesamt für Sicherheit in der Informationstechnik (BSI), 2017

Veröffentlichung: „Studie: The Future of Compliance 2017“, Deloitte / Quadriga Hochschule / Compliance Manager Magazin, 2017

Veröffentlichung: „Bundeslagebild Wirtschaftskriminalität 2016“, Bundeskriminalamt (BKA), 2016

Der Compliance Sommercampus 2018

Beginnen Sie mit dem WIRTSCHAFTScampus sofort eine Ausbildung zum Certified Chief Compliance Officer im Compliance Sommercampus 2018. Der WIRTSCHAFTScampus setzt damit die Reihe des Compliance Sommercampus 2018 im siebten Jahr erfolgreich fort.

Der Compliance Sommercampus 2018 richtet sich an bereits tätige oder zukünftige Compliance-Beauftragte, Mitarbeiter aus den Bereichen Finanzbuchhaltung, Controlling, Einkauf, Vertrieb, Geschäftsführer, Mitglieder der Geschäftsführung und des Aufsichtsrats, Geldwäsche- und Antikorruptionsbeauftragte sowie an Rechtsanwälte und Wirtschaftsprüfer.

Während des Compliance Sommercampus 2018 wird das Deutsche Institut zur Zertifizierung im Rechnungswesen (DIZR) e.V. exklusiv nur für diese Teilnehmer eine Zwischenzertifizierung durchführen, auf die der WIRTSCHAFTScampus individuell und praxisnah in einer gezielten Präsenzphase vorbereiten wird. Die abschließende Zertifizierung zum Certified Chief Compliance Officer wird bundesweit, zum Beispiel in Hamburg, Düsseldorf, Frankfurt, Leipzig oder München sowie in der Schweiz und in Österreich angeboten.

Ausführliche Informationen zum Compliance Sommercampus 2018 finden Sie auf der Homepage des WIRTSCHAFTScampus.

Dort finden Sie auch die spezialisierte Ausbildung zum Tax Compliance Officer, welche wir seit 2017 erfolgreich mit abschließender Zertifizierung durch das DIZR e.V. anbieten.

Compliance und Konzerne (Teil 2)


Prolog:

„Klaatu barada nikto!“

Deaktivierung des Roboters Gort, um die Zerstörung des Planeten Erde zu verhindern (Filmzitat aus: „Der Tag, an dem die Erde stillstand“ / USA 1951).

Künstliche Intelligenz (KI) im Konzern

In welchem Ausmaß sich künstliche Intelligenz schon heute in Konzernen auswirkt, hat das Digital Transformation Institute von Capgemini, ein Beratungs- und IT-Dienstleister und die größte Unternehmensberatung europäischen Ursprungs, im Jahr 2017 untersucht. Dazu wurden weltweit Führungskräfte aus fast 1.000 Unternehmen mit einem Umsatz von mehr als 500 Millionen Dollar befragt.

In der Studie gaben 83 Prozent der Befragten an, künstliche Intelligenz (KI) habe bzw. wird neue Aufgaben im Unternehmen schaffen und den täglichen Arbeitsfluss in der näheren Zukunft grundlegend beeinflussen.

Einhergehend mit der Thematik KI wird sich dies daher auch deutlich auf den Bereich Compliance im Konzern und Unternehmen in den nächsten Jahren auswirken. Doch, was ist künstliche Intelligenz eigentlich?

Künstliche Intelligenz – Geschichte

Künstliche Intelligenz ist keine neue Erscheinung oder Entwicklung. Der Computerwissenschaftler John McCarthy prägte erstmalig im Jahr 1956 den Begriff ‘künstliche Intelligenz’ auf einer Konferenz an der Dartmouth Universität.

Aufmerksam geworden, gab die Regierung der USA John McCarthy und seinem Kollegen Marvin Minsky die finanziellen Mittel zur Entwicklung von KI, um ihre Position im Kalten Krieg mit Russland zu stärken. Der Ansatz war, die künstliche Intelligenz zu nutzen, um die Muster der russischen Sprache zu verstehen, in der Hoffnung, es würde sie befähigen, russische Unterlagen in großem Umfang schneller und effizienter zu übersetzen. Der große Erfolg in Verbindung zur Nutzung der KI blieb, gerade auch wegen damals fehlender Technologie, aber aus.

In den 70er Jahren war der Forschungsdrang im Bereich der KI fast zum Erliegen gekommen. Die finanziellen Mittel der Regierung für KI wurden drastisch gekürzt, als nicht genug Fortschritte sichtbar wurden. Der Forschungsdrang stoppte quasi, bis IBM sein, sehr medienwirksames, Projekt Deep Blue vorstellte. Der IBM Supercomputer Deep Blue schlug im Jahr 1997 den Schachweltmeister Garry Kasparov. Eine Sensation für diese Zeit, dass eine Maschine in der Lage war, einen Menschen zu schlagen. Für Deep Blue war dies kein Problem. Deep Blue war in der Lage, bis zu 200 Millionen potenzielle Positionen in einer Sekunde zu analysieren und den Schachweltmeister so vom Brett zu fegen.

Künstliche Intelligenz – Definition

Die Definition von Künstlicher Intelligenz beruht auf der Vorstellung, dass menschliche Intelligenz die Summe aus verschiedenen Berechnungen ist. Der denkende Mensch wird schon seit der Aufklärung als Maschine betrachtet. Künstliche Intelligenz selbst wird auf unterschiedliche Weise erzeugt.

Erkennung von Mustern: KI-Systeme erkennen Muster und können entsprechende Handlungen ausführen.
Zugriff auf große Wissensdatenbank: Manche KI-Systeme werden mit sehr viel Wissen gespeist. Aus diesem Datenschatz schöpft das System, wenn es Lösungen oder Antworten sucht.
Vorhersage von Mustern: Durch die Berechnung von Wahrscheinlichkeiten können bestimmte KI-Systeme auf mögliche Muster in der Zukunft reagieren.

Insgesamt beruht Künstliche Intelligenz heute auf der Verarbeitung von sehr großen Datenmengen, der sogenannten Big Data. Die modernste Ausprägung von künstlicher Intelligenz nutzt künstliche neuronale Netzwerke und entwickelt selbstlernende Systeme in Form von Machine Learning.

Blick in die Glaskugel – Compliance Management in der Zukunft

Betrachtet man die Ergebnisse einer Studie, in der Konzerne sich über die Zukunft des Compliance im Unternehmen äußern, so fällt sofort auf, dass künstliche Intelligenz (KI) zusammen mit der Investition in Prozesse der Automatisierung sehr häufig genannt wird. Nicht nur der Einstieg in Industrie 4.0 sondern bereits die, zwar noch vorsichtige, Perspektive in das Zeitalter von Industrie 5.0, in der die KI immer mehr und deutlich dominieren wird, ist bereits jetzt ein Diskussionsthema.

Ob künstliche Intelligenz sich in Konzernen und Unternehmen maßgeblich durchsetzen wird ist nicht die Frage, einzig wann es so weit ist, bleibt zu beobachten!

Eines der grundlegenden Ergebnisse in dieser Studie war, das momentan 60% der befragten Unternehmen den Schwerpunkt auf „Comply“ (gesetzliche und regulatorische Anforderungen beachten und erfüllen) fokussieren und nur 20% der Unternehmen momentan ihre Hauptausrichtung auf den Bereich „Integrate“ (regulatorische und gesetzkonforme Anforderungen in die täglichen Aufbau- und Ablauforganisation durch konsequente Umsetzung des „Three-Lines-of-Defense-Modells im Unternehmen) legen.

Drei Verteidigungslinien im Compliance


Grafik: WIRTSCHAFTScampus

Nur 20% der Unternehmen konzentrieren sich momentan bei der Umsetzung ihres Compliance Managements auf das Segment „Automate“, also die Automatisierung und Digitalisierung bestehender und zukünftiger Complianceprozesse.

Genau hier wird ein massives und signifikantes Umdenken im Bereich Compliance und der praxisbezogenen Umsetzung des Compliance Management in der nächsten Zeit stattfinden! Auf die Frage der künftigen Praxis im Unternehmen und der Strukturierung und Umsetzung des internen Compliance Management Systems gaben 50% der befragten Verantwortlichen für den Bereich Compliance an, dass der zukünftige Schwerpunkt in der Automatisierung der Compliancestruktur unter Einbeziehung einer KI bzw. der damit einhergehenden Compliance Software besteht.

Aber wie definiert sich nun der (neue) Bereich der Automatisierung unter Einbeziehung von Software und KI? Als Beispiel hierfür soll dies nachfolgend am Segment „Berichterstattung“ im Unternehmen in Hinblick auf mögliche Compliancevorfälle kurz dargestellt werden. Über 45% der Chief Compliance Officers wünschen sich im Unternehmen eine Plattform (Dashboard) zur Anzeige von Vorfällen oder zur internen Berichterstattung. Somit wäre in Echtzeit immer und flexibel die aktuelle Compliancesituation, sowohl mobil als auch stationär, abrufbar.

Digitalisierung und Compliance: 3 Schritte zum Weg in die Zukunft

Voraussetzung ist die konsequente Umsetzung der Digitalisierung im Bereich Compliance, die in der unternehmerischen Praxis in drei Schritten durchzuführen ist. Der erste Schritt beinhaltet, dass alle compliancerelevanten Daten in digitaler Form zur Verfügung gestellt werden.

Ausdrücklich müssen den verantwortlichen Mitarbeitern aus dem Bereich Compliance Zugänge zu allen wichtigen Systemen, wie der Kundenbestandsdatenbank, ermöglicht werden, damit diese an das, in einem Konzern bestehende, System der Compliance-IT angebunden werden können. Somit ergibt sich eine Koppelung zu bereits vorhandenen Kontrollmechanismen zum Beispiel aus dem Umfeld Kartellrecht oder dem bereits bestehenden Monitoringsystem zur Prävention von Geldwäsche.

Das Compliance-IT-Zielbild


Grafik: WIRTSCHAFTScampus

Im zweiten Schritt müssen innerhalb des Konzerns aufeinander abgestimmt IT-gestützte Tools und intern genutzte Programme zur Darstellung aller Prozesse im Bereich Compliance realisiert werden. Hierzu ist die Definition eines Compliance-IT-Zielbilds zwingend erforderlich und sollte in jedem Fall die nachfolgenden Teilbereiche beinhalten, welche mit Hilfe eines internen Frage- und Bestandsbogens gemeinsam mit den Mitarbeitern in den jeweiligen Abteilungen erfasst und erarbeitet werden müssen.

  1. Sicherheitsmanagement
  2. Allgemeine Sicherheitsaspekte und Verhalten in Notfällen
  3. Sicherheitsbewusstsein
  4. Zugriffsschutz: Benutzernamen, Kennwörter und Verschlüsselung
  5. Internet und E-Mail
  6. Datensicherung
  7. Drahtlose Netzwerkverbindungen (WLAN) und Hotspots im Konzern
  8. Software-Nutzung und Software-Updates
  9. Schutzvorkehrungen und Schutzeinrichtungen

Nur so können kostenaufwendige Medienbrüche (zum Beispiel wird ein ausgedrucktes Textdokument oder ein empfangenes Fax als Textdatei in einen Computer eingegeben) und manuelle Prozesse reduziert werden. Wenn diese beiden Schritte durchgeführt wurden, ist die Grundlage für den Einsatz neuer digitaler Technologien, wie beispielsweise

  • Blockchain (Liste von Datensätzen, welche durch kryptographische Verfahren miteinander verkettet sind)
  • Data & Analytics (automatisierte Analyse von großen Datenmengen)
  • Predictive-Data-Analysen (Vorhersage von zukünftigen Trends)
  • Robotertechnik

im Konzern vorhanden und der dritte, finale, Schritt in ein digitales Compliance-Zeitalter kann umgesetzt werden.

Die Zukunft: Künstliche Intelligenz (KI)

Mit diesen, in den beiden ersten Schritten neu geschaffenen, Instrumentarien, können dann im dritten und finalen Schritt künftig eine intelligente Datenextraktion mit einer ständig einhergehenden Analyse der auflaufenden Daten oder eine fortlaufende Kunden-Due-Diligence durchgesetzt werden. Genau hier öffnet sich dann das Tor zu einer neuen, digitalisierten Welt im Unternehmen. Entscheidungen, die aktuell noch durch Menschen getroffen werden, können in dieser Ausbaustufe der Digitalisierung dann von den technischen Systemen unter Einbeziehung der (geschaffenen) KI getroffen werden.

KI im Privaten

88% der Deutschen meinen, dass KI zukünftig helfen wird, private Herausforderungen zu meistern! War es noch vor Jahren für den Großteil der Bevölkerung in Deutschland ein Märchen aus fernen Welten und Galaxien, so entwickelt sich die Akzeptanz und der selbstverständliche Umgang mit künstlicher Intelligenz in einer rasenden Geschwindigkeit. Laut einer in 2017 durchgeführten Studie mit über 1.000 Befragten in ganz Deutschland steigen die Erwartungen an die KI im täglichen Umfeld rasant an.

Künstliche Intelligenz im Alltag

In welchen Bereichen wäre der Einsatz von künstlicher Intelligenz geeignet, um dabei zu helfen, zukünftige Herausforderungen zu meistern?

Basis: n= 1.017 / Mehrfachnennungen möglich
Quelle: PWC 2017 / „Bevölkerungsbefragung 2017“, Grafik: WIRTSCHAFTScampus

Doch auch die praktische Anwendung im täglichen Leben unter der (ständigen) Nutzung von KI ist in Deutschland bereits angekommen. 85% der Befragten können sich vorstellen, eine KI im persönlichen Umfeld ständig zu nutzen. Einsatzgebiete hierfür sind für die Befragten die Nutzung von Putzrobotern (58%), ein Hilfsroboter für schwere Arbeiten im Haushalt (51%), ein Sprachroboter wie Alexa von Amazon oder Siri von Apple für tägliche Aufgaben wie Einkaufen oder zur Kommunikation und selbst das digitale Auto, das selbstständig fährt ist bereits heute für 31% der Befragten eine zukünftige Selbstverständlichkeit.

Es gilt als sicher, dass die Akzeptanz und die Normalität der KI im täglichen Umfeld in den nächsten Jahren innerhalb der Bevölkerung deutlich ansteigen werden.

KI im Konzern

Werden Systeme mit Künstlicher Intelligenz die Menschen bei Finanzunternehmen ersetzen, weil sie effektiver und schneller sind, nicht krank werden und an keine Arbeitszeiten gebunden sind? Ja! Hier hat die Zukunft bereits begonnen.

Die japanische Versicherung Fukoku Mutual Life Insurance investiert genau in diese Richtung. Sie führt eine Künstliche Intelligenz (IBM Watson, eine Plattform für KI) ein, um fast 30 Prozent der Mitarbeiter für Schadensbemessung zu ersetzen. Das Unternehmen geht davon aus, dass die Einrichtung der künstlichen Intelligenz rund 1,6 Millionen Euro und der Betrieb danach jährlich rund 120.000 Euro kosten werden. Dem stünden Einsparungen bei den Personalkosten in Höhe von jährlich rund 1,1 Millionen Euro gegenüber. Drei weitere Unternehmen in Japan folgen bereits und auch in den USA findet diese Innovation sehr große Aufmerksamkeit.

Tatsächlich eröffnet der technische Fortschritt auch im Finanzsektor immer neue Anwendungsmöglichkeiten; sowohl bei der Robotik im Sinne von unterstützenden Anwendungen als auch bei der KI, die eigenständig hochkomplexe Aufgabenstellungen in Sekundenschnelle bearbeitet.

RPA: Robotic Process Automation

Aktuell ist der größte Einsatzbereich bei Versicherungen die Automatisierung von einfachen, heute noch manuellen und weitestgehend standardisierten Tätigkeiten durch Robotic Process Automation (RPA).

Bereits jetzt optimieren Versicherungen und andere Unternehmen ihre täglichen Arbeitsprozesse indem sie ihren Mitarbeitern in Einzelbereichen Roboter zur Seite stellen. Über eine zentrale, durchgängige Plattform kann die RPA-Technologie im nächsten Schritt innerhalb des gesamten Unternehmens implementiert werden. So lassen sich Aufgaben effizienter automatisieren, Prozesse straffen und die Mitarbeiterproduktivität kann erhöht werden. Vorliegende Studien und Prognosen sehen hier Kosteneinsparungspotenziale von etwa 30 bis zu 75 Prozent im bestehenden Wertschöpfungsmodell.

Bei Banken und anderen Finanzdienstleistern erhält das Instrument RPA ebenfalls sehr schnellen und zukunftsweisenden Einzug, beispielsweise im Rahmen der Vergabe von Krediten und dahinterliegenden Verarbeitungsprozessen oder im Handel mit Wertpapieren. Nachfolgend als Beispiel drei Anwendungsbereiche bzw. Szenarien, die unproblematisch auf (fast) alle Branchen und Unternehmen transformiert werden können.

1. Chatbots

Wofür braucht man einen Menschen, wenn der Roboter es doch auch, und zwar 24 Stunden an sieben Tagen in der Woche, kann? Mit Chatbots können Kunden über Textnachrichten oder Sprache kommunizieren, um sich von ihnen beraten zu lassen. Das geht zum Beispiel auch über Facebook und WhatsApp oder am Telefon.

Das Besondere an den Robotern und den genutzten Programmen ist, dass sie unter Einbeziehung und der Nutzung von künstlicher Intelligenz aus den Interaktionen mit den Nutzern lernen und sich deren Bedürfnissen und Vorlieben immer besser anpassen.

2. Compliance

In Verbindung mit Software, die Sprache verarbeiten kann, ist die künstliche Intelligenz bereits jetzt zu einem Compliance-Thema geworden. Dieser Punkt der Compliance wird zukünftig deutlich an Wertigkeit zunehmen! Dort hat sich der Aufwand bei der Bewertung von Texten und Informationen durch die vielen Regulierungen sehr stark erhöht. Mit künstlicher Intelligenz ist es bereits jetzt möglich, eine große Menge an Texten vollkommen automatisiert und ohne Menschen auszuwerten und sie mit den internen Richtlinien abzugleichen.

Alleine die Geschwindigkeit betreffend ist die Maschine bereits jetzt deutlich schneller als der Mensch und die genutzten Programme lernen, immer genauere Analysen durchzuführen und es wird einfacher feststellbar, welche Anforderungen und Verpflichtungen in der Bank oder in anderen Unternehmen sich auf welche spezifischen Mitarbeiter, Leistungen oder Produkte beziehen.

3. Personalisiertes Marketing

In diesem speziellen Bereich des Marketings geht es darum, aufgrund von Kundenverhalten abzuleiten, für welche Produkte oder Leistungen sich ein spezifischer Kunde interessieren könnte. Es werden aggregierte Metadaten gebildet über bestimmte Kundeneigenschaften, wie Alter, Familienstand, Bildungsgrad oder beruflicher Status, und diese werden in Verbindung gebracht mit Interessen, Kaufentscheidungen oder der Interaktion mit Online-Angeboten wie personalisierten E-Mails oder Newslettern.

Daraus kann schließlich abgeleitet werden, welche Eigenschaften ein typischer Kunde hat, der gerne einen Bausparvertrag abschließen möchte. Aufgrund dessen können diesem zum Beispiel in seinem Newsletter automatisch die richtigen Produkte gezeigt werden, oder die Informationen fließen in die Vorbereitung der Berater auf ein Gespräch mit ein. Gerade da Banken so viele Kundendaten haben, könnten für ein personalisiertes Marketing wertvolle Informationen gewonnen werden.

Roboter werden Menschen überlegen sein

Auf der Zeitgeist-2015-Konferenz in London erklärte dies Stephen Hawking, der theoretische Physiker und Astrophysiker aus England: „Computer werden Menschen innerhalb der nächsten hundert Jahre mit künstlicher Intelligenz überholen. Wenn das passiert müssen wir sicher gehen, dass die Ziele der Computer mit unseren übereinstimmen“.

Die Zukunft wird nicht digital – sie ist es bereits, da sie in der Vergangenheit begonnen hat. Ein Schritt zurück oder gar eine Ablehnung oder die Verweigerung neuer Instrumentarien wie künstliche Intelligenz ist, ob nun unternehmerisch oder privat, nicht mehr möglich. Somit fordert dies im unternehmerischen Bereich zwingend die Weiterbildung und Aktualisierung aller Compliance – Instrumentarien für bestehende und zukünftige Anforderungen und der Umsetzung der Compliance in allen internen und externen Tätigkeiten des Unternehmens.

Epilog:

„Wir scannen nicht all jene Bücher, damit sie von Menschen gelesen werden, wir scannen sie, damit sie von einer Künstlichen Intelligenz gelesen werden können.“ (Zitat aus 2005 von einem Google – Ingenieur)

Weiterbildung Compliance

Starten Sie jetzt mit der Ausbildung zum Chief Compliance Officer oder Tax Compliance Officer!

Nutzen Sie mit dem WIRTSCHAFTScampus die Möglichkeit zur zertifizierten Ausbildung im Bereich Compliance Management und schützen Sie sich selbst oder ihr Unternehmen mit der persönlichen Teilnahme oder der Anmeldung eines ihrer Mitarbeiter bei unserer Compliance-Weiterbildung. Der WIRTSCHAFTScampus bietet die beiden aufeinander aufbauenden Fernlehrgänge im Bereich Compliance Management an:

Certified Compliance Officer: Die Inhalte des Fernlehrgangs Certified Compliance Officer beinhalten u.a. Innerbetriebliches Kontrollsystem (IKS), Risikomanagementsystem (RMS), Ethik-Kodex, Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen IDW PS 980, ISO 19600 – Richtlinien für ein Compliance Management System, ISO 37001 – Standard zur Antikorruption.

Certified Chief Compliance Officer: Die Inhalte des Fernlehrgangs Certified Chief Compliance Officer beinhalten u.a. Compliance von Lieferanten und Kunden, Compliance und M&A, Compliance und IT, Compliance auf Führungsebene, Haftung der Geschäftsführung, Arbeitsrecht und Compliance, Kartell- und Wettbewerbsrecht, Geldwäsche, ISO 19600.

Weiterhin ist die Ausbildung zum Certified Tax Compliance Officer jederzeit möglich.

Eine ausführliche Darstellung der Inhalte unserer Fernlehrgänge im Bereich Compliance finden Sie hier:
Fernstudium Compliance Officer
Fernstudium Tax Compliance Officer
oder in unserer Weiterbildungsbroschüre 2018, die wir Ihnen selbstverständlich gern unverbindlich zusenden.

Quellenangaben:

Veröffentlichung: „Mit Daten Werte schaffen“, KPMG, 2017

Veröffentlichung: „Bevölkerungsbefragung Künstliche Intelligent“, PwC, 2017

Veröffentlichung: „Compliance – die neue Dimension“, Compliance Business, 2017

Veröffentlichung: „Rechtsgrundlage und Reichweite der Compliance in Aktiengesellschaft und Konzern“, Institute for Law and Finance, Goethe-Universität Frankfurt/Main, 2012

Compliance und Konzerne (Teil 1)

Prolog:

„Oft tut auch der Unrecht, der nichts tut. Wer das Unrecht nicht verbietet, wenn er es kann, der befiehlt es.“

Marcus Aurelius, römischer Kaiser von 161 bis 180

Wir kaufen Unternehmen und bauen einen Konzern

Als Konzern (lat. concernere „(ver-)mischen“) bezeichnet man den Zusammenschluss eines herrschenden und eines oder mehrerer abhängiger Unternehmen zu einer wirtschaftlichen Einheit unter der Leitung des herrschenden Unternehmens, wobei jedes Unternehmen einen eigenen Jahresabschluss erstellt. Dafür geben die einzelnen Unternehmen ihre wirtschaftliche und finanzielle Unabhängigkeit auf, rechtlich bleiben die Unternehmen selbständig. Die dabei verbundenen Unternehmen nennt man Konzernunternehmen. Der Konzern wird von der Kooperation abgegrenzt, der es regelmäßig an einer einheitlichen Leitung fehlt.

Als weltweit erster Konzern gilt die vom italienischen Bankier Cosimo de’ Medici gehaltene Unternehmensgruppe „De’ Medici“. Beginn und Grundlage ihres Reichtums war der Handel mit Textilien. Auf dieser Basis begründeten sie ein modernes Bankwesen und dominierten, gerade auch durch ihre sehr guten Beziehungen zum Papsttum, die europäische Finanzwelt der frühen Neuzeit. Im Jahr 1458 hielt De’ Medici Mehrheitsbeteiligungen an 13 Unternehmen, die alle seinen und den Namen eines Geschäftspartners trugen und rechtlich eigenständig und selbständig blieben.

In der Gründerzeit bildeten sich weltweit die ersten Konzerne wegen des enormen Kapitalbedarfs der Wirtschaft. Größere Unternehmen kauften kleinere auf und übten über sie Kontrolle aus – die Grundlage auch für die heutige Konzernbildung. Ab 1870 entstanden in den USA die Trusts, deren Komitee von Treuhändern (der „Board of Trustees“) sich lediglich mit der Verwaltung der Anteile der von ihm beherrschten Unternehmen befasste. Nachdem im Juli 1890 der Sherman Antitrust Act in Kraft trat und alle die Handelsfreiheit beeinträchtigenden Trusts verbot, umging man dieses Gesetz durch die Gründung von Holding Companies.

Berühmteste Gründung war im Oktober 1889 die „Standard Oil Company of New Jersey Holding“, der Rechtsnachfolgerin des im Januar 1882 entstandenen „Standard Oil Trust“ – dem ersten bekannten Trust der amerikanischen Wirtschaftsgeschichte. Die „Securities Holding Company“ erwarb gerade so viele Aktien, um die ausschlaggebende Stimmenzahl zur Einflussnahme zu besitzen. Der US-Bundesstaat New Jersey ließ 1888 erstmals eine Holding Company zu und ebnete damit den Weg für Konzerne.

Konzerne in Deutschland

Das deutsche Konzernrecht begann mit der Unternehmenskonzentration, die im Jahre 1864 einsetzte. Als sich 1864 das Kapital der Essener Alfred-Krupp-Gussstahlfabrik auf andere Unternehmen ausdehnte, kam es zur ersten deutschen Konzernbildung, und Krupp avancierte zum „Kanonenkönig“. Im Folgenden entstanden weitere Konzerne in Deutschland als „Syndicatsgesellschaften“ in der Montan- und Kaliindustrie. Hier blieben die Unternehmen wirtschaftlich selbständig, nur in Erzeugung und Absatz unterwarfen sie sich Beschränkungen.

Weitere Konzerne in Deutschland schufen Hugo Stinnes, der unter der 1892 gegründeten Hugo Stinnes GmbH einen unüberschaubaren Mischkonzern zusammenkaufte, oder die AEG, die 1884 mit der Städtischen Elektrizitätswerke Berlin AG ihre Konzerntätigkeit aufnahm und Siemens & Halske. Friedrich Flick schlug als Direktor der „Actien-Gesellschaft Charlottenhütte“ im September 1915 den Zusammenschluss seiner Firma mit den „Cöln-Müsener Bergwerks-Aktienverein“ vor.

Mit der Gründung von Konzernen, ob nun national in Deutschland oder international, begannen aber auch die Probleme und Herausforderungen rund um Korruption und unlauteren Wettbewerb. Bevor nun einige Beispiele aus Deutschland im Hinblick auf Konzerne und deren Verstrickungen hier kurz dargestellt werden, soll anhand eines längeren und detaillierten Beispiels aufgezeigt werden, wie sich politische Einflussname und Korruption über einen Zeitraum von 100 Jahren, von der Gründung eines Konzerns bis in die heutige Zeit, manifestiert und sich teils zur Normalität entwickelt hat.

Bananenrepubliken und Steueroasen

Die Geschichte der United Fruit Company beginnt im Jahr 1871. Damals soll Minor Copper Keith eine Eisenbahn durch Costa Rica bauen; am Rand der Gleise pflanzt der Unternehmer Bananenstauden, um billige Nahrung für seine Arbeiter zu haben. Die Bahn rentiert sich nicht, aber die Plantagen mit den Bananen werden zur Goldgrube.

Am 30. März 1899 gründen Keith gemeinsam mit Lorenzo Dow Baker und Andrew Preston, die United Fruit Company. Die Firma entstand aus dem Zusammenschluss der Firma Boston Fruit, gegründet von Lorenzo Dow Baker und Andrew Preston, und der von Minor C. Keith gegründeten Firma Tropical Trading and Transport Company. Im Jahr 1903 werden erstmals an der New Yorker Börse die Aktien des Konzerns gehandelt.

Fortan drängt sich der Konzern so aggressiv in die Angelegenheiten Nord- und Mittelamerikas, dass die Lateinamerikaner ihn „El Pulpo“ – die Krake nennen. Bald kontrolliert der Konzern United Fruits Company 75 Prozent des Bananenmarktes in den USA, pflanzt Plantagen in Kolumbien, Costa Rica, Jamaika, Nicaragua, Panama und Honduras, besitzt die größte Privatflotte der Welt und ein gewaltiges Schienennetz. In Guatemala liegt sogar das Postwesen in der Hand des Konzerns. Doch auch privat wachsen die Verflechtungen und der Unternehmensgründer Keith heiratet die Tochter des Präsidenten von Costa Rica.

Eine halbe Milliarde wechselt den Besitzer

Konkurrenz muss die United Fruit Company nicht fürchten bzw. so wie in der heutigen Zeit kaufte man die Konkurrenz einfach weg vom Markt. 1872, zur selben Zeit, da der Firmengründer die Banane entdeckte, war die jüdische Bauernfamilie Zmuri in die USA eingewandert. Als Samuel Zmuri den ersten Verkäufer von Bananen in den USA sah, war er so beeindruckt, dass er im Hafen die weggeworfenen, für den Weitertransport schon zu reifen Bananen, sammelte. Von diesem Zeitpunkt an schaffte er Nacht für Nacht diese weggeworfenen Bananen zu Verkäufern in Geschäften oder auf den Markt. Es dauerte nicht lange und aus „Sam the Banana Man“, diesen Namen hatte er sehr schnell im Hafen von den dortigen Arbeitern erhalten, wurde Sam Zemurray, der Bananenkönig, dessen eigenes und in 1911 gegründetes Unternehmen Cuyamel Fruit Company der United Fruit heftig Konkurrenz zu machen begann.

In Honduras organisierte der Aufsteiger mit seinem Unternehmen Cuyamel Fruit Company den Sturz eines Diktators, um vom nächsten Herrscher alle Konzessionen für seine dortigen Pflanzungen zu bekommen. Von dort rückte Zemurray an die Grenze Guatemalas vor, das 1904 zur größten unter den vielen Domänen der United Fruit geworden war. Die United Fruit kaufte dem wachsenden Konkurrenten daraufhin sein Imperium im Jahr 1929 ab – für United-Fruit-Aktien im Werte von 31,5 Millionen Dollar. Eine für diese Zeit beispiellose und unglaubliche Summe, da dieser Betrag in der heutigen Zeit mit ca. 441,0 Millionen US $ zu bewerten ist. Nach dem Tod von Minor Copper Keith übernimmt Sam Zemurray 1933 mit seinen Aktien und einiger Überzeugungsarbeit gegenüber den anderen Aktionären die United Fruit Company und gilt von da an für die kommenden 30 Jahre als mächtigster „Banana Man“ der Welt.

Der übermächtige Bananen – Konzern war gegründet und die United Fruit Company verlegt ihren Hauptsitz nach Guatemala. Was heute Holland für Nike oder Irland für Amazon ist, war damals Guatemala für die United Fruit Company.

Weder Steuern noch Zölle muss der Bananenriese in dem kleinen Land zahlen, der einzige Handelshafen, Puerto Barrios, der Telegrafendienst und die elektrische Versorgung Guatemalas unterstehen United Fruit. Die gelben Früchte werden mit blauen Aufklebern veredelt, um den Käufern in den USA klar zu machen, dass sie mit einer „Chiquita“ etwas ganz Besonderes essen. Als dann Miss Chiquita im Baströckchen ihren „Banana Song“ im Radio und Kino trällert, kennt das Lied bald jedes Kind und der Erfolg der Marke Chiquita (übersetzt aus dem spanischen für „kleines Mädchen“) ist nicht mehr aufzuhalten.

Aber dann läuft doch etwas schief. Im Jahr 1950 wird Jacobo Arbenz zum Staatspräsidenten von Guatemala gewählt. Zwei Jahre später enteignet er 53.576 Hektar bestes Plantagenland der United Fruit Company und verteilt es an Kleinbauern. Dem Unternehmen offeriert er eine Entschädigung von 627.572 Dollar, exakt die Summe, die der Konzern für die steuerliche Bewertung seiner Ländereien selbst deklariert hat.

Der Bananen-Konzern heuert daraufhin den Marketingfachmann Edward Bernays an. Bernays, ein Neffe von Siegmund Freud, gilt bis heute weltweit zu den wichtigsten Marketing- und Werbefachleuten. Sein 1928 entstandenes Buch „Propaganda“, seine Image-Kampagnen für die Zigarettenmarke „Lucky Strike“ oder sein „Acht-Punkte-Plan zur Durchführung einer PR-Kampagne“ gelten bis heute als Standardwerk. Das war in einer von ihm entwickelten PR-Kampagne im Auftrag der United Fruit Company wird der Regierung in Guatemala unterstellt, sie sei kommunistisch unterwandert. In dieser Zeit die größte gefühlte Bedrohung gegen die USA überhaupt! Als Dwight D. Eisenhower 1953 zum Präsidenten der USA gewählt wird, hat die United Fruit Company die Verbündeten, die sie zur Einflussnahme und Lösung des Problems braucht:

  • Walter Bedell Smith, stellvertretender Außenminister und ehemaligen CIA-Direktor, der später mit einem leitenden Posten bei der United Fruit belohnt wird
  • Henry Cabot Lodge, United-Fruit-Aktionär und späterer Botschafter der USA bei den Vereinten Nationen
  • Anne Whitman, Eisenhowers persönliche Sekretärin und Frau des United Fruit-PR-Direktors.

Deckname: „Operation Success“

Allein im ersten Halbjahr 1954 lässt sich die CIA die von Bernays für United Fruit erarbeitete Kampagne gegen Arbenz 20 Millionen Dollar kosten. Unter dem Decknamen „Operation Success“ werden Waffen in die Hände der oppositionellen Contras gespielt. Im Juni wird Präsident Arbenz gestürzt. An seine Stelle setzt die CIA Contraführer Castillo Armas. Er gibt United Fruit die enteigneten Gebiete zurück und vertreibt die Bauern, die sich gerade auf ihren neuen Feldern eingerichtet haben. Guatemala ist von einer selbstständigen, selbstbewussten Nation wieder auf den Stand einer Bananenrepublik zurückgesunken.

Doch nicht jeder kommt mit dem Konzern-Kraken klar. Am Morgen des 3. Februar 1975 schließt Eli Black seine Bürotür im 44. Stock des New Yorker Pan Am Building hinter sich zu. Dann nimmt der Chef der United Fruit Company seinen Aktenkoffer, zertrümmert damit eine Fensterscheibe und springt in die Tiefe. Mit dem Selbstmord von Black wird ein Bestechungsskandal begraben bzw. werden die Ermittlungen eingestellt: Für 2,5 Millionen Dollar, so war der Vorwurf, wollte sich United Fruit vom Präsidenten Honduras Zollvorteile bei der Ausfuhr von Bananen erkaufen. Dass Black sich deshalb umbringt, sorgt allgemein für Kopfschütteln, denn in dem Konzern gehört Bestechung seit langem zum Alltag.

Entgegen zu Eli Black hat die United Fruit Company, heute unter anderem Namen und mit vielen weiteren Unternehmenskäufen und Verschmelzungen, überlebt. Bereits Mitte der 90er Jahre wurden verschiedene interne und externe Compliance-Instrumentarien installiert oder auch international neu geschaffene Kronzeugen- und Bonusregelungen vom Konzern genutzt.

Bevor nun dargestellt wird, wie sich eine funktionierende Compliance-Struktur im Konzern integrieren kann und umgesetzt werden soll, kurz einige Beispiele in Deutschland der letzten Jahre, die widerspiegeln sollen, dass die Compliance, sei es im personellen Umfeld oder im unternehmerischen Verhalten, ein Instrument ist, welches unabdingbar im Konzern fest verankert sein muss.

Die Option, ob ein Konzern oder Unternehmen, gleich welcher Größe oder aus welcher Branche, ein Compliance Management System (CMS) integrieren soll, gibt es nicht mehr. Es gehört zur Pflicht und gleichermaßen zum Schutz der persönlichen Haftung, dies im internen Unternehmen und mit seinen externen Partnern umzusetzen. Genau dies zeigen die nachfolgenden Beispiele, welche nur eine Auswahl der Spitze des Eisbergs sind.

Uns passiert ja schon nichts … oder doch?

Das Zementkartell

Sie trieben über Jahre die Preise immer weiter künstlich in die Höhe: 2003 enttarnte das Bundeskartellamt das so genannte Zementkartell – 170 Millionen Euro Bußgeld wurden verhängt. Doch worum ging es?

Die Zementhersteller hatten, zum Teil seit den 70er Jahren, wettbewerbswidrige Gebiets- und Quotenabsprachen getroffen und bis zum Jahr 2002 fortgesetzt. Räumlich betroffen waren die Märkte in Ostdeutschland, Westfalen, Norddeutschland und Süddeutschland, die von den Herstellern „unter sich“ aufgeteilt wurden. Durch die Absprachen war der Wettbewerb in Deutschland auf diesem Markt nahezu vollständig ausgeschlossen. Ein fairer Preis für Zement, ob nun für die Baubranchen bei Großprojekten oder für den privaten Endverbraucher, war über Jahrzehnte nicht gegeben

Manager der Telekommunikation

Eigene Manager, Aufsichtsräte, Journalisten – sie alle wurden von einem großen, deutschen Telekommunikations-Unternehmen bespitzelt. 2008 flogen die illegalen Aktivitäten auf, eine hohe Geldbuße gab es für den ehemaligen Staatskonzern aber nicht. Dafür wurde der ehemalige Leiter der Abteilung Konzernsicherheit zu über drei Jahren Haft verurteilt.

Die beiden damaligen Vorstandsvorsitzenden einigten sich mit dem Unternehmen auf Schadenersatzszahlungen von jeweils 600.000 Euro, nachdem die das Unternehmen je 1.000.000 Euro gefordert hatte. Von der Vergleichssumme zahlten die beiden Angeklagten 250.000 Euro aus eigener Tasche, den Hauptteil aber zahlte die Haftpflichtversicherung für Manager, welche alle zur eigenen Sicherheit abgeschlossen hatten.

Schmiergelder in der Autoindustrie

Mal hat ein großer Autobauer aus Deutschland in der Türkei Busse produziert und diese unter Zahlung von 3,3 Millionen Euro an Schmiergeldern in andere Länder wie Nordkorea, Lettland, Bulgarien, Rumänien und Russland verkauft, mal einem hohen Beamten in Turkmenistan eine gepanzerte Limousine im Wert von 300.000 Euro spendiert, mal Würdenträger in Indonesien in den Golfclub eingeladen. Als Strafe musste der Autohersteller 2010 in den USA insgesamt 185 Millionen Dollar zahlen. Über zehn Jahre wurden weltweit Regierungsbeamte mit Bargeld und Geschenken bestochen, um an lukrative Aufträge zu kommen – und das nicht nur im Ausland.

Hätten diese Vorfälle nun verhindert werden können, wenn eine gelebte und fest verankerte Compliancestruktur in diesen Unternehmen bestanden hätte? Sicher nicht alle, aber zumindest zeigen sie auf, wie wichtig es ist, sich mit dem Instrument Compliance, gleichwohl in allen Branchen und für alle Unternehmensgrößen, nachhaltig zu beschäftigen

Grundlagen Compliance im Einzelunternehmen und Konzern

Für die Compliance im Konzernumfeld gibt es keine eindeutige und gesetzliche Definition, jedoch lässt sich nach Ziffer 4.1.3. des Deutschen Corporate Governance Kodex (DCGK) Compliance folgendermaßen definieren: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin.“ Dabei schließt die Erfüllung und die Einhaltung von Regeln neben Gesetzen vor allem auch die vertraglich geschlossenen Verpflichtungen und intern aufgestellten Regeln ein.

Wie sich die Compliance-Verantwortlichkeit der Geschäftsleitung genau definiert, wird meistens unterschiedlich beurteilt: Zum einen werden §§ 76, 93 AktG, 43 GmbHG (Aktiengesetz / Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder) als Grundlage genannt, nach anderer Meinungen sind §§ 130, 30, 9 OWiG (Ordnungswidrigkeitengesetz / Verletzung der Aufsichtspflicht in Betrieben und Unternehmen) anzuwenden, wiederum andere verweisen auf Pflichten im Bereich der Organisation und schließlich wird eine Gesamtanalogie zu spezialgesetzlichen Vorgaben gezogen.

Trotz dieser unterschiedlichen Meinungen und Ansichten besteht bei den Pflichten im Unternehmen über Inhalt und Reichweite Einigkeit. Zwar sind immer die individuellen Umstände des Einzelfalls für die Beurteilung heranzuziehen, aber grundsätzlich unterliegt jede Geschäftsleitung einer Legalitätspflicht und einer Legalitätskontrolle, bestimmten Auflagen und Pflichten in der Organisation und dem Monitoring. Eine ständige Kontrolle ist zwingend erforderlich, damit bei Verdachtsmomenten die Geschäftsleitung sofort einschreiten kann.

Compliance bedeutet nicht nur punktuelle Rechtskonformität. Vielmehr soll die gesamte Unternehmensorganisation systematisch die Einhaltung der wesentlichen Rechtsvorschriften sicherstellen. Die Bedeutung von Compliance wird daran erkennbar, dass es in Konzernen und Unternehmen inzwischen Chief Compliance Officer gibt, die neben Rechtsabteilung und interner Revision auf die Einhaltung von Regeln achten.

Compliance – Kommunikationswege

Grafik: WIRTSCHAFTScampus

Compliance im Konzern

Trotz der Regelungen in §§ 15 ff. AktG (Aktiengesetz / Verbundene Unternehmen) ist die Definition im Konzernrecht nicht vollständig. Die Realität innerhalb des Konzerns verbunden mit der Einhaltung und Umsetzung aller Regeln und Vorgaben hängt immer und zu 100% von der Konzernleitung ab.

Mit der Gründung einer strategischen Holding wird das tägliche, operative Geschäft auf verschiedene Tochtergesellschaften übertragen, wohingegen eine Mischholding nur noch teilweise eigene Aufgaben übernimmt. Eine Finanzholding übt schließlich keine operative Tätigkeit mehr aus und überlässt nicht nur die operative Leitung vollständig den einzelnen Konzerntöchtern; es werden auch alle Funktionen und Kompetenzen der strategischen Leitung mit Ausnahme der Finanzfunktion an die jeweiligen Konzerntöchter delegiert.

Grundsätzlich sind die Konzerngesellschaften rechtlich selbstständig. Für eine Übertragbarkeit der Compliance auf den Konzern gibt es keine ausdrücklichen Regelungen. Für die Kartellbehörden ist eine Betrachtung der wirtschaftlichen Einheit in jedem Fall erforderlich. Aus Sicht einer gesellschaftsrechtlichen Diskussion besteht zwar keine ausdrückliche Konzernleitungspflicht, jedoch die Pflicht zur unternehmerischen Beteiligungsverwaltung i.S.v. Risikoverringerung und der Steigerung des eigenen Ergebnisses. Der Konzern hat darüber hinaus direkte Einflussmöglichkeiten über Beteiligungsrechte und der Besetzung von Kontrollorganen sowie der Geschäftsleitung.

Die Verantwortung für die eigene Gesellschaft bedeutet für den Vorstand der Muttergesellschaft in jedem Fall eine ausdrückliche Compliance-Verantwortung für den gesamten Konzern. Im Rahmen einer konzernweiten Compliance-Einrichtung sollen Risiken für das Unternehmen analysiert und abgewendet werden. Ausdrücklich gilt dies sowohl für interne als auch für externe Risiken. Der Vorstand oder der Geschäftsführer der Tochtergesellschaft hat eigene Pflichten im Bereich der Compliance, insbesondere liegt es in seinem Aufgabenbereich, die Compliance-Maßnahmen der Muttergesellschaft zu prüfen. Gleichermaßen kann die Muttergesellschaft dem Vorstand oder der Geschäftsführung der Tochtergesellschaft Weisungen erteilen.

Der Aufsichtsrat und die Compliance

Da es keinen Gesamt-Konzernaufsichtsrat gibt, muss der Aufsichtsrat der Muttergesellschaft die Organisation prüfen. Er muss jeweils bezogen auf die Tätigkeit des Vorstands der Konzernmutter überwachend und beratend tätig werden und kann gegebenenfalls eigene Untersuchungen einleiten. Problematisch in diesem Zusammenhang erscheint die Reichweite der Rechte des Aufsichtsrats. Aus dem AktG ergibt sich grundsätzlich nur ein Einsichtsrecht in die eigene Gesellschaft, aber kein konzernweites Einsichts- und Prüfungsrecht.

Eine direkte Befragung der Chief Compliance Officer oder der Geschäftsführer von Tochtergesellschaften widerspricht zwar dem Grundsatz, dass der Aufsichtsrat nicht am Vorstand vorbei agieren darf, in der Praxis ist jedoch eine Auskunft des Chief Compliance Officers möglich.

Compliancestruktur im Konzern

Grafik: WIRTSCHAFTScampus

Einbindung der Compliance-Organisation in die Konzern-Struktur

Grundsätzlich muss Compliance als rechtskonformes Verhalten von der obersten Ebene des Unternehmens in das Unternehmen eingeführt und deutlich vorgelebt werden. In der Praxis ist eine gestufte Organisation üblich, in der der Chief Compliance Officer der Geschäftsleitung unmittelbar und direkt unterstellt ist oder sogar aktives Mitglied der Geschäftsführung ist. Auch kann ein Chief Compliance Officer zum Beispiel der Leiter der Rechtsabteilung sein.

Voraussetzung für eine gute und optimale Einbindung ist die Sicherstellung des konstanten Informationsflusses innerhalb des gesamten Konzerns. Unbedingt beinhaltet dies alle Bereiche und Abteilungen des Unternehmens. Abhängig von der Größe und der Struktur des Konzerns kann für jede Unterabteilung ein eigener Compliance Officer eingesetzt werden, der dem Chief Compliance Officer untersteht.

Im Fall einer dezentralen Organisation, in der jede Tochtergesellschaft einen eigenen Compliance Officer hat, der dem Chief Compliance Officer der Muttergesellschaft untersteht, könnte es zu konzerninternen Kompetenzproblemen kommen, da bei dieser Struktur der Compliance Officer an der Tochtergesellschaft vorbei Meldung an den Chief Compliance Officer geben müsste.

Umsetzung der Compliance im Konzern

Zunächst muss die Firmenleitung ein gut ausgearbeitetes und individuelles Compliance-Programm in das Unternehmen einführen (Tone from the top). Anschließend muss eine Analyse im Rahmen von Workshops oder Befragungen mit den Mitarbeitern bezüglich ihrer Aufgaben und Tätigkeiten im Konzern durchgeführt werden.

Bei dieser Analyse sollen relevante Bereiche und Risiken identifiziert werden. Weiterhin sind die Ergebnisse der Workshops und internen Befragungen zu dokumentieren und auszuwerten. Grundlegend ist die Erarbeitung eines Ethik-Kodex / Compliance-Manuals für die Mitarbeiter, die in den relevanten Bereichen tätig sind. Schließlich muss Compliance in die arbeitsvertragliche Dokumentation integriert werden. Über Schulungen sollen Mitarbeiter das Compliance Management System (CMS) lernen und ihm folgen können und sich in bestimmten Situationen auch durch einen Compliance Officer beraten lassen zu können.

Aufgaben des Compliance–Beauftragten

Grafik: WIRTSCHAFTScampus

Aufgaben und Implementierung eines CMS im Konzern

Tiefgreifende organisatorische Veränderungen in Unternehmen wie die Integration und Durchsetzung von Compliance Management und Compliance Regeln dürfen von der Unternehmensleitung nicht „von oben herab“ ohne die Einbeziehung der Verantwortlichen aus den einzelnen Abteilungen wie zum Beispiel Marketing, Vertrieb oder Buchhaltung verordnet werden. Ohnehin scheitern mehr als 40 % solcher organisatorischer Veränderungen, was häufig am passiven Widerstand der Mitarbeiter liegt, wenn diese nicht mit einbezogen werden.

Vielmehr bedürfen die Compliance Regeln der jeweils zeitnahen Beratung und wiederholten intensiven Schulung der Mitarbeiter. Die ist ein Schwerpunkt in dem breit gefächerten Bereich der Aufgaben des Compliance Management.

Unverzichtbar ist zunächst, dass das Compliance Management in seinem Bereich eine zentrale Beratungsstelle schafft, die Fragen der Mitarbeiter etwa per E-Mail beantwortet; dabei stimmt sie die Antworten mit den jeweiligen sachverständigen Fachabteilungen des Unternehmens ab. Mit diesen Antworten kann im Lauf der Zeit eine Datenbank aufgebaut werden, der Bausteine für Antworten auf gleiche oder ähnliche Fragen der Mitarbeiter entnommen werden können. Gleichzeitig gewinnt das Compliance Management so einen Überblick, welche Compliance Regeln für die Mitarbeiter besonders relevant oder welche nicht hinreichend verstanden worden sind.

Gleichermaßen unverzichtbar ist weiterhin, dass das Compliance Management die Compliance Regeln durch regelmäßige Schulung der Mitarbeiter vertieft, insbesondere derjenigen, die den größten Compliance Risiken ausgesetzt sind. Vor diesem Hintergrund bietet es sich an, Schwerpunkte zu setzen, die sich an dem typischen Arbeitsalltag der Mitarbeiter orientieren, der von Arbeitsfeld zu Arbeitsfeld unterschiedlich ist.

Für die Schulungen eignen sich sowohl Präsenzschulungen, die eine offene Diskussion der Compliance Regeln ermöglichen, als auch Online-Schulungen, die die Mehrzahl der Mitarbeiter erreichen können. Außerdem sind die direkten Vorgesetzten der Mitarbeiter gefragt, mit ihnen den Dialog über Compliance zu führen.

Schließlich sollten Beratung und Schulung zum Beispiel durch ein im Intranet veröffentlichtes Compliance Handbuch ergänzt werden, das die Mitarbeiter jederzeit zur Hand haben.

Blick in die Glaskugel – Compliance Management in der Zukunft

Im zweiten Teil des Beitrags, der im Januar 2018 erscheint, wird die Zukunft des Compliance Management im Umfeld von Konzernen und Unternehmen, gerade auch im Hinblick zum Beispiel auf den immer wichtiger werdenden Aspekt der Künstlichen Intelligenz (KI) im Unternehmen, näher dargestellt.

Der Compliance Wintercampus 2018

Beginnen Sie mit dem WIRTSCHAFTScampus sofort eine Ausbildung zum Certified Chief Compliance Officer im Compliance Wintercampus 2018. Der WIRTSCHAFTScampus setzt damit die Reihe des Compliance Wintercampus im sechsten Jahr erfolgreich fort.

Der Compliance Wintercampus 2018 richtet sich an bereits tätige oder zukünftige Compliance-Beauftragte, Mitarbeiter aus den Bereichen Finanzbuchhaltung, Controlling, Einkauf, Vertrieb, Geschäftsführer, Mitglieder der Geschäftsführung und des Aufsichtsrats, Geldwäsche- und Antikorruptionsbeauftragte sowie an Rechtsanwälte und Wirtschaftsprüfer.

Während des Compliance Wintercampus 2018 wird das Deutsche Institut zur Zertifizierung im Rechnungswesen (DIZR) e.V. exklusiv nur für diese Teilnehmer eine Zwischenzertifizierung durchführen, auf die der WIRTSCHAFTScampus individuell und praxisnah in einer gezielten Präsenzphase vorbereiten wird. Die abschließende Zertifizierung zum Certified Chief Compliance Officer wird bundesweit, zum Beispiel in Hamburg, Düsseldorf, Frankfurt, Leipzig oder München sowie in der Schweiz und in Österreich angeboten.

Ausführliche Informationen zum Compliance Wintercampus 2018 finden Sie auf der Homepage des WIRTSCHAFTScampus.

Quellenangaben:

Veröffentlichung: „Mit Daten Werte schaffen“, KPMG, 2017

Veröffentlichung: „Compliance – die neue Dimension“, Compliance Business, 2017

Dokumentation: „Über Bananen und Republiken“, Mathilde Damoisel, Arte-TV, 2017

Veröffentlichung: „Externes und internes CSR-Management bei Chiquita“, Institut für Wirtschaftsethik, Universität St. Gallen, 2015

Veröffentlichung: „Rechtsgrundlage und Reichweite der Compliance in Aktiengesellschaft und Konzern“, Institute for Law and Finance, Goethe-Universität Frankfurt/Main, 2012

Veröffentlichung: „Verstöße gegen das Wettbewerbsrecht kommen Unternehmen teuer zu stehen“, PwC, 2010

Ohne Tax Compliance mit einem Bein im Kittchen

Die Weiterbildung im Bereich Compliance und die Ausbildung eines Spezialisten innerhalb eines bestehenden Compliance Management Systems (CMS) mit der Integration eines Tax Compliance Officers hat mit einem Urteil des Bundesgerichtshof (BGH) aus dem Jahr 2017 deutlich an Wichtigkeit gewonnen.

Erhöhte Pflichten, Vorgaben im Hinblick auf Transparenz, sowie Dokumentationspflichten und die Digitalisierung stellen die Funktionen und Vorgaben jedes Unternehmens im Bereich der steuerlichen Aufgaben vor immer größere und vor allem neue Herausforderungen. Veränderte rechtliche Rahmenbedingungen und eine deutlich gestiegene und restriktive Handhabung durch das Finanzamt verstärken dies deutlich.

Ein Tax Compliance Officer im Unternehmen? Ein Thema, welches nach heutigem Stand für jedes Unternehmen, gleich welcher Größe und Branche, sowohl in persönlicher Haftungshinsicht als auch gegen den Schutz gegenüber Korruption oder sonstigen globalen Gefahren und Angriffen von größter Wichtigkeit ist.

Umso mehr, da der Bundesgerichtshof (BGH) mit seiner Entscheidung vom 9. Mai 2017 (BGH 1 StR 265/16) bestätigt hat, dass ein funktionierendes Tax Compliance Management System bei der Festsetzung von Strafen, zum Beispiel im Tatbestand der Korruption, oder bei der Bemessung von Bußgeldern bei Steuervergehen oder steuerlichen Missständen berücksichtigt werden kann. Dies soll an dem nachfolgenden Tatbestand näher dargestellt werden.

Panzerhaubitzen nach Griechenland

In 2001 verkaufte ein in Deutschland ansässiges Rüstungsunternehmen 24 Panzerhaubitzen zum Preis von 188.008.929 Euro an Griechenland. In diesem Zusammenhang gaben der Angeklagte, ein leitender Angestellter und Prokurist des Rüstungsunternehmens, und sein Vorgesetzter im August 2002 eine vom Unternehmen X gestellte Provisionsrechnung in Höhe von 1.858.584,18 Euro (brutto) bzw. 1.602.227,74 Euro (netto) zur Zahlung frei und leiteten sie an die Buchhaltung im Rüstungsunternehmen weiter.

Bei dem Unternehmen X handelt es sich um eine im Jahr 1997 von zwei ehemaligen Abgeordneten des Deutschen Bundestages und einem Professor einer Technischen Universität gegründete (Beratungs-)Gesellschaft bürgerlichen Rechts, die ausschließlich im Rahmen des verfahrensgegenständlichen Verkaufs der Panzerhaubitzen an Griechenland aktiv wurde. Sie verfügte über einen persönlichen Kontakt zum damaligen griechischen Verteidigungsminister, war aber in offizielle Verhandlungen mit Griechenland zu keinem Zeitpunkt eingebunden. Bei der Freigabe der Rechnung war dem Angeklagten bewusst, dass dieses Unternehmen X seine im Vorfeld des Vertragsschlusses erbrachten Dienstleistungen auf der Grundlage von Bestechungsabreden erbracht hatte.

Die Rechnung wurde von der Buchhaltung des Rüstungsunternehmens beglichen und als ordentliche Betriebsausgabe der Firma für das Jahr 2002 verbucht.

Die an das Unternehmen X gezahlte Provision ging entgegen § 4 Abs. 5 Satz 1 Nr. 10 EStG vollumfänglich in die unterzeichnete Erklärung des Rüstungsunternehmens zur gesonderten und einheitlichen Feststellung von Grundlagen für die Einkommensbesteuerung 2002 als Betriebsausgabe ein. Der hierauf ergangene unrichtige Feststellungsbescheid des Finanzamts im Jahr 2004 führte zu einem nicht gerechtfertigten Steuervorteil des Rüstungsunternehmens in Höhe von 1.602.227,74 Euro.

In den Jahren 2002 und 2004 erhielt der Angeklagte von einem mit ihm befreundeten Vertreter des Rüstungsunternehmens in Griechenland aus den von dem Rüstungsunternehmen an ihn gezahlten Provisionen bzw. Vergütungen im Zusammenhang mit dem Projekt Panzerhaubitze verdeckte Provisionszahlungen in Höhe von zusammen mehr als 657.000 Euro auf sein Konto bei einer Schweizer Bank.

Auf den strafrechtlich nicht verjährten Veranlagungszeitraum 2004 entfiel dabei ein Betrag von 357.892,10 Euro. Der in Deutschland unbeschränkt steuerpflichtige Angeklagte verschwieg den Erhalt dieser Zahlungen sowie daraus resultierende Kapitalerträge in Höhe von 14.374,89 Euro gegenüber den Finanzbehörden in seiner abgegebenen Einkommensteuererklärung für das Jahr 2004. Er verkürzte hierdurch Einkommensteuer in Höhe von 140.508 Euro sowie Solidaritätszuschlag in Höhe von 7.727,94 Euro. Eine von ihm in 2014 hierzu abgegebene und auf Schätzungen beruhende Selbstanzeige gegenüber dem zuständigen Finanzamt hat das Landgericht für unwirksam erachtet. Nach seiner Auffassung war die Steuerhinterziehung des Angeklagten zu diesem Zeitpunkt bereits entdeckt; auch habe der Angeklagte bei verständiger Würdigung der Sachlage mit einer Entdeckung rechnen müssen.

Tax Compliance Management System

Das Landgericht München als Vorinstanz hatte den Mitarbeiter des Rüstungsunternehmens, obwohl dieser eine Selbstanzeige getätigt hatte, unter anderem wegen Beihilfe zur Steuerhinterziehung des Rüstungsunternehmens verurteilt. Dabei galt es als eindeutig erwiesen, dass auch die Geschäftsführung Kenntnis von den Bestechungen hatte. Entsprechend hat das Landgericht München dazu auch gegen das Unternehmen als Nebenbeteiligte ein Bußgeld in Höhe von 175.000 Euro verhängt.

Die Besonderheit ist, dass der BGH zur Bemessung der Höhe der Geldbuße vorgibt, auch Erkenntnisse zu dem betriebsinternen Kontrollsystem einfließen zu lassen. So ist stets in Betrachtung zu ziehen, ob das Unternehmen ein effizientes Compliance Management System (CMS) im Unternehmen integriert hat, das auf die Verhinderung von Rechtsverstößen ausgelegt ist oder ob es in der Folge eines Verfahrens entsprechende Compliance-Regelungen optimiert und seine betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Regelverletzungen zukünftig jedenfalls drastisch erschwert werden.

Mit dem Anwendungserlass zu § 153 AO hat sich das Bundesministerium für Finanzen (BMF) bereits in 2016 zur Thematik und der Wirkung eines Tax Compliance Management-Systems (Tax CMS) im Unternehmen geäußert. Danach kann bei Berichtigungserklärungen ein Tax CMS ein Indiz gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit darstellen und damit zugunsten des Steuerpflichtigen wirken, indem die Anzeige als Korrektur gemäß § 153 AO und nicht als Selbstanzeige nach § 371 AO gewertet wird.

Der BGH hat nun erstmalig dieses Thema aufgegriffen und zeigt, dass auch die Rechtsprechung hinter dem vom BMF aufgestellten Grundsatz steht, dass ein effizientes (Tax) Compliance Management System ein Indiz gegen vorsätzliche oder fahrlässige Steuerverkürzung ist.

Umsetzung im Unternehmen – Der Tax Compliance Officer (TCO)

Neben der tatsächlichen Vermeidung von Rechtsverstößen gibt es mit dem BGH-Urteil vom 9.5.2017 nun ein weiteres deutliches Argument, ein Tax CMS im Unternehmen zu installieren. Bisher gab es keine höchstrichterliche Rechtsprechung zur Bedeutung eines Tax CMS. Doch die hier genutzte Gelegenheit, sich zu der Bemessung der Geldbuße zu äußern, zeigt, dass auch die Gerichte gewillt sind, einem effizienten Tax CMS eine nicht unerhebliche Bedeutung für die Rechtsfolgen von Verstößen beizumessen.

Unternehmen, ihre gesetzlichen Vertreter und die unternehmensseitigen Ansprechpartner der Betriebsprüfer sehen sich häufiger mit Vorwürfen und der Androhung konfrontiert, Vorgänge auch strafrechtlich untersuchen zu lassen. Insbesondere auch vor dem Hintergrund, dass die Gesetzeslage sich seit 2011 kontinuierlich verschärft hat und Betriebsprüfungen heute kritischer verlaufen als früher sollte über die Einrichtung eines Tax Compliance Management Systems zwingend nachgedacht werden bzw. ein bestehendes CMS sollte in jedem Fall im Segment der Tax Compliance erweitert werden. Die Integration eines Tax Compliance Officers sollte als Pflicht im Unternehmen betrachtet werden, um sich gegen interne und externe Gefahren früh und transparent abzusichern.

Besonders interessant sind dabei auch die Ausführungen des BGH, dass es ebenfalls strafmildernd wirken kann, wenn das Unternehmen in der Folge einer bereits vor dem Gericht anhängigen Straftat seine Regelungen optimiert und die betriebsinternen Abläufe so gestaltet, dass vergleichbare Normverletzungen zukünftig deutlich erschwert werden. Es ist somit nie zu spät, sich Gedanken über die Einrichtung eines Tax CMS zu machen bzw. einen Tax Compliance Officer in ein (bestehendes) Compliance Management System zu integrieren.

Ausbildung zum Tax Compliance Officer

Der WIRTSCHAFTScampus bietet nun einen Fernlehrgang zum Tax Compliance Officer an, der es den Teilnehmern ermöglicht, ein Tax Compliance-System in ihren Unternehmen einzurichten, das die ordnungsgemäße Erfüllung der Steuerpflichten gewährleistet und dafür Sorge trägt, dass die unternehmerische Steuerstrategie zielgenau verfolgt wird. Drei umfassende und gut gegliederte sowie teilnehmerorientierte Lehrbriefe vermitteln den Stoff in dem Tempo, das der Teilnehmer selbst für sich bestimmen kann. An einem Präsenztag wird den Teilnehmern ein Gesamtüberblick geboten und die Gelegenheit gegeben, durch Fragen ihren persönlichen Wissensbedarf abzudecken.

Alle Einzelheiten zum Certified Tax Compliance Officer (TCO) finden Sie beim Fernlehrgang Tax Compliance Management.

Quellenangabe:

Veröffentlichung „BGH 1 StR 265/16 – Urteil vom 9. Mai 2017 (LG München I)“