Nachbericht: 6. Sicherheitstag NRW - Security und Compliance

In unser Bildergalerie erhalten Sie einige Eindrücke vom 6. Sicherheitstag.

Aufsehenerregende Fälle, in denen Repräsentanten großer Unternehmen gegen Gesetze verstoßen und Eigentümer geschädigt haben, sowie die in der Folge wachsenden rechtlichen Anforderungen an die unternehmensinterne Kontrolle haben dafür gesorgt, dass es - zumindest bei international tätigen Unternehmen - nicht mehr ohne eine Compliance-Organisation geht. Und das hat, wie beim 6. Sicherheitstag NRW am 28. Oktober, deutlich wurde, auch vielfältige Auswirkungen auf Aufgaben und Position der Corporate Security im Unternehmen. Ob und wie die Verantwortlichen für Compliance (deutsch: Regelkonformität) und jene, die die Sicherheitsinteressen des Unternehmens vertreten sollen, in der Praxis zusammenwirken können, wurde von den vortragenden Experten recht unterschiedlich gesehen.

Innenstaatssekretär Karl-Peter Brendel, der als Vertreter des Schirmherrs, Innenminister Ingo Wolf, den Sicherheitstag mit einem Grußwort einleitete, ging dabei vor allem auf die wachsende IuK-Kriminalität ein. In der Wirtschaftskrise sei mit steigenden Angriffszahlen zurechnen, die auch Unternehmen zunehmend schädigen. Brendel forderte die Unternehmen auf, hier mehr für den Eigenschutz zu tun, einmal durch mehr innerbetriebliche Prävention, zum anderen durch Erhöhung der Sicherheitsmaßnahmen, etwa durch konsequente Verschlüsselung sensibler Daten.

Die Veranstaltung, die in diesem Jahr im Forum des ThyssenKrupp Trade Centers in Düsseldorf durchgeführt wurde, stand unter der Schirmherrschaft des nordrhein-westfälischen Innenministers Dr. Ingo Wolf. Referenten waren Norbert Wolf, ehemals Leiter Konzernsicherheit der Siemens AG, Wolf-Rüdiger Moritz, Vice President Business Continuity der Infineon Technologies AG, Dr. Dirk Christoph Schautes, Leiter Group Compliance der METRO AG, Jens Washausen, Geschäftsführer der ADATO Consulting Group und RA Dr. Volker Hees, Kanzlei Hoffmann Liebs Fritsch & Partner. Das Grußwort sprach Innenstaatssekretär Karl Peter Brendel, die Moderation lag bei Marcus Heide (SECURITY insight).

Für den VSW-NW-Vorsitzenden Michael Sorge, der die rund 80 Gäste des Sicherheitstags begrüßte, sind Security- und Compliance-Organisation Bereiche mit unterschiedlichen Aufgaben und vergleichsweise geringer Schnittmenge, deren enge und kooperative Zusammenarbeit bei der Abwehr von Gefährdungen allerdings unverzichtbar sei. Für den Bereich Corporate Security und die Lösung von Sicherheitsproblemen, müsse Compliance, verstanden als gesetzmäßiges Handeln, ohnehin eine selbstverständliche Grundlage des Handelns sein. Die jeweiligen Organisationsstrukturen und die dazugehörige Aufgabenverteilungen müssen darüber hinaus den Bedürfnissen des jeweiligen Unternehmens angepasst sein.

Compliance, verstanden als rechtmäßiges Handeln, ist für den Vorsitzenden des VSW Nordrhein-Westfalen, Michael Sorge, eine selbstverständliche Grundlage der Tätigkeiten und Aufgaben einer Corporate Security. Diskussionswürdig sei aber die Frage, wie beide Bereiche künftig in der Organisationsstruktur eines Unternehmens verankert werden. 

Compliance-Krise bewältigt

Ein Beispiel, dass schriftlich fixierte Codes of Conduct oder die Einsetzung eines Ombudsmannes nicht ausreichen, sondern dass Compliance auch gelebt werden muss, wird am Beispiel der vielfältigen bei Siemens in zweieinhalbjährigen Ermittlungen aufgedeckten Managerdelikte deutlich. Der Aufwand habe sich allerdings gelohnt: Heute sieht sich Siemens auf dem Weg zum Compliance-Vorbild mit einem Vorstandsmitglied, das speziell für Compliance zuständig ist, und 620 hauptamtlichen Compliance-Mitarbeitern. Ex-Sicherheits-Chef Norbert Wolf, der Siemens nach 21 Jahren im Herbst 2008 aus Altersgründen verließ, berichtete anschaulich von den Aufklärungsbemühungen und den direkt oder indirekt damit verbundenen Folgewirkungen der Compliance-Verstöße. Insgesamt kosteten die Sicherheitsmaßnahmen und internen Ermittlungen nach Wolfs Angaben über 1 Mrd. €. In Zusammenhang mit den Ermittlungen des von Siemens beauftragten US-Rechtsanwaltsbüro Debevoise & Plimpton war auch ein zentraler Konflikt zu lösen: Ursprünglich sollte den 150 US-Ermittlern uneingeschränkter Zugang zu allen Daten und damit auch zu Geschäftsgeheimnissen gewährt werden. Wolf, in seiner Funktion als CSO (Chief Security Officer) auch für den Informationsschutz zuständig, stemmte sich damals dagegen und konnte den Vorstand überzeugen, dass Firmen-Interna geschützt werden mussten, Geheimschutz-Auflagen zu berücksichtigen waren und alle vorzulegenden Akten und Daten im Original gesichert werden sollten. Um unkontrollierte Informationsabflüsse zu vermeiden, etwa beim Grenzübertritt, wurden Akten- und Datentransporte dann auch von der Konzernsicherheit vorbereitet und unter ihrer Kontrolle durchgeführt. Vom Bereich Informationstechnik wurden zudem Tools eingerichtet, die die Aktivitäten der Anwälte präzise protokollierten. Wolf berichtete auch von zusätzlichen Aufgaben, die sich aus den Ermittlungsergebnissen ergaben. So war es notwenig Siemens-Repräsentanten in einigen Ländern, in denen Namen prominenter Schmiergeldempfänger bekannt wurden, zusätzlich zu schützen.

Sie sorgten für unterschiedliche Diskussionsansätze beim Thema „Security und Compliance – Partner bei der Abwehr wirtschaftskrimineller Risiken“ (v. l.): Jens Washausen (ADATO Consulting), Dr. Dirk Christoph Schautes (METRO), Rüdiger Moritz (Infineon Technologies) und Norbert Wolf (Berater).

Einzige wesentliche Gemeinsamkeit zwischen Corporate Security und Compliance sei, so Wolf, dass beide Einheiten Ermittlungen durchführen, ansonsten gebe es wenig Überschneidungen. Corporate Security werde beispielsweise gebraucht, um auch die Nutzung von Märkten und Standorten in gefährlichen Umfeldern zu ermöglichen. Informationen des Auswärtigen Amts oder externer Dienstleister reichen dafür, so Wolf nicht aus, man müsse Informationen aus der Perspektive des Unternehmens gewinnen und bewerten können.

In einem Ausblick auf die künftigen Aufgaben der Corporate Security empfahl Wolf unter anderem, Geschäftspartner und Kunden stärker in die Sicherheitsprozesse einzubeziehen. Die Abteilungen selbst sollten personell so stark besetzt sein, dass auch ein Krisenmanagement zu bewältigen sei. Er regte an, dabei auch darüber nachzudenken, wie dann eventuell Ruheständler oder Security-Kräfte befreundeter Unternehmen mit eingebunden werden könnten. Wünschenswert sei auch, wenn das Personal der Sicherheitsabteilung sich künftig multikultureller zusammensetze und auch mehr Frauen Berücksichtigung fänden.

»Runder Tisch«

Als Antwort auf die aktuellen Anforderungen im Sicherheitsbereich empfiehlt Wolf-Rüdiger Moritz, Vice President Business Continuity der Infineon Technologies AG, ein neues Managementelement, eine Art runden Tisch, an dem alle, die Unternehmensrisiken ins Auge fassen, beteiligt werden. Governance, Risk, Compliance und Security (GRCS-Management) werden ressortübergreifend behandelt. Eine spezielle Compliance-Abteilung, bisher meist neben den vorhandenen Abteilungen eingerichtet, führe nur dazu, dass die Abteilungen »jeweils ihr eigenes Süppchen kochen«. Moritz: »Delikte entstehen weiterhin, Mitarbeiter und Externe werden immer wieder Wege finden, die Wirtschaftsprüfer zu übertölpeln.« Besser sei es dagegen, wenn die Verpflichtung zur Compliance und die Verantwortung dafür in der jeweiligen Fachabteilung bleibe.

Moritz machte in seinem Vortrag auch auf zwei Aspekte aufmerksam, die in Unternehmen immer wieder falsch gemacht würden und dann auch zu den für die Medien interessanten Verstößen gegen Gesetze führen. Zum einen wird beim Einsatz der Audit Command Language (ACL), bei der Kontendaten mit Lieferantenkonten verglichen werden, oft vergessen, eine Betriebsvereinbarung über das Screening abzuschließen oder anschließend übersehen, dass die vom Abgleich betroffenen Personen zu informieren sind. Ebenso vernachlässigen viele Unternehmen auch, dass sie Diensteanbieter nach dem Telekommunikationsgesetz und somit zur Wahrung des Fernmeldegeheimnisses verpflichtet sind. Eine Nutzung und Weitergabe von Daten aus einer Überwachung der Telekommunikation werde strafrechtlich sanktioniert (§ 206 STGB).

 
Rund 80 Gäste aus Wirtschaft und öffentlichem Dienst, nicht nur aus Nordrhein-Westfalen, nahmen am 6. Sicherheitstag NRW teil.

Die Metro-Lösung

Für Dr. Dirk Christoph Schautes, Leiter Group Compliance der METRO AG, einem internationalen Konzern mit rund 2.100 Standorten in 33 Ländern, ist Compliance nichts, was nebenher erledigt werden könnte. Insbesondere neue regulatorische Anforderungen, etwa durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) und zuvor bereits den Deutschen Corporate Governance-Kodex, schärfere Sanktionen, die erhöhte Aufmerksamkeit von NGOs oder Medien für Regelverstöße sowie eine METRO-interne Restrukturierung, bei der die operative Verantwortung vollständig den dezentralen Einheiten übertragen wird, verlangen ein konsistentes Compliance System. 2006 führte die METRO Group von Deutschland aus konzernweit gültige Geschäftsgrundsätze ein. Diese enthalten unter anderem Verbote des Anbietens, Gewährens oder Annehmens von Vorteilen. Seit 2008 werden die Lieferantenverträge um Anti-Korruptionsklauseln ergänzt. Angesichts zahlreicher notwendiger Genehmigungsverfahren vor der Eröffnung eines neuen Marktes und vor dem Hintergrund eines milliardenschweren Einkaufsvolumens sei es wichtig, verbindliche Regeln einzuführen und deren Einhaltung sicherzustellen.

Im Rahmen des Compliance Systems der METRO Group haben die Compliance Funktion und die Interne Revision arbeitsteilige Aufgaben. Die Compliance Funktion ist ausschließlich für Prävention verantwortlich. Überprüfung der Einhaltung von Unternehmensrichtlinien und Untersuchung von vermeintlichem Fehlverhalten stehen auf der Aufgabenliste der Internen Revision und Konzernsicherheit. Die Rolle der Compliance Officers in der METRO Group interpretiert Schautes als »aktive Kommunikatoren und Trusted Advisors«. Wichtigste Aufgaben sind für ihn die regelmäßige Analyse der Compliance-Risiken, die Entwicklung von Steuerungsinstrumenten für kritische Geschäfts- und Verwaltungsprozesse, Qualitätskontrollen und die Konsolidierung der Unternehmensrichtlinien, Mitarbeitertrainings zu Risikothemen und ein umfassendes Kommunikationskonzept, das sowohl nach oben wie nach unten wirkt.

Security braucht Compliance

Jens Washausen, ADATO Consulting Group GmbH, hat auf Basis seiner Beratungspraxis analysiert, wie sich die Präsenz einer Compliance-Funktion im Unternehmen auf die Corporate Security auswirkt. Er kam dabei zum Ergebnis, dass sich Compliance und Security in einer kooperativen Beziehung gegenseitig nutzen sollten. Auch wenn die Corporate Security organisationspolitisch in der Praxis durch die Einführung von Compliance Systemen oft an Boden verliere, werde insgesamt das Thema Sicherheit im Unternehmen und insbesondere auch im Management aufgewertet. Die starken kommunikativen Komponenten der Compliance tragen in der Regel dazu bei, über Verstärkung der Coaching-, Support- und Consulting-Komponenten die Awareness im Unternehmen zu erhöhen. Daneben brauche der Compliance-Bereich aber auch eine leistungsfähige Security, die damit auch einen wichtigen internen Auftraggeber und Gesprächspartner gewinnt. Der Zwang zur Transparenz und zu genehmigten und geprüften Prozessen nutze dabei letztlich auch der Security-Abteilung.

 
Blickfang in den Kommunikationspausen war der neue BMW High Security, der erstmals nach der Internationalen Automobilausstellung öffentlich gezeigt wurde.

Praxisnahe Hinweise

Weil auch bei intensiver Compliance-Arbeit mit betriebsschädigenden Handlungen von Unternehmensangehörigen zu rechnen ist, gab Rechtsanwalt Dr. Volker Hees von Hoffmann Liebs Fritsch & Partner, Düsseldorf, noch einige sehr konkrete Hinweise, wie Unternehmen schlagkräftig gegen Verstöße vorgehen können. Einen großen Ermessensspielraum gebe es für Geschäftsführer und Vorstände nicht, denn sie stehen nach einer BGH-Entscheidung (BGHZ 135, 244) auch in der Pflicht »Schäden vom Unternehmen durch geeignete, erforderliche und zumutbare Maßnahmen abzuwenden oder gering zu halten«. Danach muss, so Hees, die Geschäftsleitung in aller Regel aufklären und alle Schäden geltend machen. Nur in der Wahl der Aufklärungsmittel besteht noch Handlungsermessen. Zu beachten sei dabei aber die Kollision von schutzwürdigem Aufklärungs- und Verfolgungsinteresse mit den Persönlichkeitsrechten der Mitarbeiter. Es müsse deshalb in jedem Einzelfall eine umfassende Güterabwägung unter Berücksichtigung der besonderen Umstände des konkreten Falles (vgl. BAG NZA 2004, 1278) stattfinden. Neuer Maßstab für die Aufklärung von Straftaten im Betrieb, nicht nur bei der automatisierten Nutzung von Daten, ist § 32 Abs. 1 Satz 2 BDSG. Danach müssen Anhaltspunkte für den Anfangsverdacht einer konkreten Straftat vorliegen und Art und Ausmaß der Maßnahme nicht unverhältnismäßig sein. Es muss also die »mildeste« geeignete Maßnahme getroffen werden. Die Verhältnismäßigkeit muss für jeden Fall neu geprüft und diese Abwägung dokumentiert werden. Auch die Notwendigkeit einer Befragung müsse so begründet werden. Wird eine Befragung durchgeführt, ist der Arbeitnehmer zur Auskunft verpflichtet, er muss auch bevorstehende oder drohende Schäden durch Rechtsverstöße anzeigen, selbst dann, wenn sie von Kollegen ausgehen. Es gibt allerdings keine Pflicht, sich selbst zu bezichtigen. Bei Verweigerung von Auskünften sind Abmahnung und Kündigung möglich, deren Androhung ist in diesem Fall nicht strafbar. Der Arbeitnehmer kann dabei durchaus alleine befragt werden, ein Recht auf Begleitung, zum Beispiel durch Betriebsratsmitglied oder Anwalt gibt es nicht.

Hees verwies auch auf zwei weitere wichtige Aspekte bei Aufklärung und Wiederbeschaffung von Werten. In manchen Fällen kann die zum 1.9.2009 im Strafprozessrecht (§ 46b StGB) eingeführte Kronzeugenregelung oder auch ein angebotener Kündigungsverzicht helfen. Ein »Schwamm drüber« dürfe sich die Geschäftsleitung wegen ihrer Pflicht zur Minderung von materiellen Schäden allerdings nicht leisten. Entsprechend müsse das Ziel, vollstreckbare Titel zu erhalten, um Schadenersatz geltend machen zu können, im Vordergrund stehen. Hier stehen dem Geschädigten dann die Optionen Arrest oder Zwangsvollstreckung zur Verfügung. Beides setzt voraus, dass Vermögenswerte aufgespürt wurden oder werden. Wichtig sei in jedem Fall, dass das Unternehmen rasch handelt, am besten über eine notarielle Schuldanerkenntnis und anschließenden Vollstreckungsbescheid. Möglichst frühzeitig sollte auch geprüft werden, ob eine Grundlage (§ 917 ZPO) für einen Arrest, das schnellste Sicherungsmittel, vorhanden ist. Insbesondere für den Mittelstand empfiehlt Hees hier, externe Kompetenz hinzuzuholen. Das Aufspüren von Vermögenswerten des Täters und der rechtliche Zugriff darauf sei keine ganz einfache Angelegenheit, vor allem wenn dies jenseits der deutschen Grenzen geschehen müsse.

(aus WIK Nr. 6 / Dezember 2009)