Definition

Compliance

Compliance bedeutet, dass Unternehmen gesetzliche Vorgaben, Verordnungen oder Spezifikationen einhalten, aber sich auch selbst dazu verpflichten, eigene Richtlinien zu befolgen. Verstöße gegen regulatorische Compliance-Vorschriften führen häufig zu Strafen, Bußgeldern und einem Imageschaden für Unternehmen. Der Deutsche Corporate Governance Kodex (DCGK) definiert Compliance als die Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.

Hier einige Beispiele für Gesetze und Vorschriften, die Unternehmen im Rahmen der Compliance-Vorgaben einhalten müssen: Payment Card Industry Data Security Standard (PCI DSS), Sarbanes-Oxley Act (SOX) oder das britische Anti-Korruptions-Gesetz Bribery Act 2010. In Deutschland existieren verschiedene Gesetze, die Einfluss auf die Compliance eines Unternehmens haben. Dazu gehören zum Beispiel das Gesetz über Ordnungswidrigkeiten (OWiG) und das Aktiengesetz (AktG). Und natürlich gehört auch die seit 2018 unmittelbar wirksame EU-Datenschutz-Grundverordnung (DSGVO) dazu.

Warum ist Compliance für Unternehmen von großer Bedeutung?

Da die Anzahl relevanter Gesetze und Vorschriften seit der Jahrhundertwende zugenommen hat, hat Compliance in vielen Unternehmen erheblich an Bedeutung gewonnen. Sie haben heute eigene Abteilungen und Compliance-Manager, welche die Einhaltung aller Vorgaben überwachen. Dazu zählt auch die Einführung neuer Positionen in Unternehmen, wie etwa Compliance Officer beziehungsweise Compliance Beauftragter, manchmal gibt es inzwischen sogar einen Chief Compliance Officer (CCO).

Prozesse und Strategien zur Einhaltung von Vorschriften helfen Unternehmen dabei, sich bei der Erreichung ihrer Geschäftsziele zu orientieren. Audit-Berichte, die belegen, dass Unternehmen die Vorschriften einhalten, können bei der Argumentation gegenüber Kunden von großer Bedeutung sein. Für Unternehmen, die an US-Börsen notiert sind können beispielsweise über die SOC-1-, SOC-2 und SOC-3-Berichte nachweisen, Vorschriften wie den Sarbanes-Oxley Act einzuhalten. Dieses US-Bundesgesetz soll die Verlässlichkeit der Finanzdaten von Unternehmen belegen helfen. Ein Datenschutz-Audit oder Compliance-Audit kann gerade bei Endkunden ein wichtiges vertrauensschaffendes Argument sein. Wenn ein Unternehmen in Sachen Compliance transparent agiert, hilft dies beim Kunden Vertrauen in die Prozesse des Unternehmens aufzubauen, was sich auch in wirtschaftlicher Hinsicht sehr positiv auswirken kann.

Einige Vorschriften, Gesetze und Verordnungen beschäftigen sich speziell mit der Einhaltung und Gewährleistung des Datenschutzes. Ungenügende Prozesse, die zu Datenschutzverstößen führen, können die Kundenbindung beeinträchtigen und sich auch negativ auf den Gewinn des Unternehmens auswirken – ganz abgesehen von den rechtlichen und regulatorischen Folgen. Da die öffentlich gewordenen Datenschutzverstöße immer weiter zunehmen, werden die Verbraucher diesbezüglich auch immer weiter sensibilisiert. Kunden bringen Unternehmen, die sich genau an die Vorschriften zum Schutz persönlicher Daten halten, mehr Vertrauen entgegen.

Welche Herausforderungen bestehen für Unternehmen bei der Compliance?

Unternehmen, die sich nicht an verbindliche Praktiken zur Einhaltung von Vorschriften halten, können sich zahlreichen möglichen Folgen gegenübersehen. Diese können im schlimmsten Fall auch die Existenz des Unternehmens gefährden. So können Organisationen zahlreichen Auflagen erhalten, wenn sie gegen Vorschriften verstoßen. Beispielsweise kann eine Inspektion durch die jeweilige Aufsichtsbehörde erfolgen. Und natürlich können Bußgelder gegen die Unternehmen verhängt werden, und mit Wirksamkeit der DSGVO haben diese aufgrund der möglichen Höhe an Wirksamkeit gewonnen. Und bei Datenschutzverstößen leidet in der Regel auch der Ruf eines Unternehmens in der Öffentlichkeit. Manager und Mitarbeiter haften zum Teil persönlich für Rechtsverstöße, sei es zivilrechtlich (Schadensersatz), arbeitsrechtlich (Abmahnung, Kündigung) oder strafrechtlich (Geld- oder Freiheitsstrafe).

Die Einhaltung von Compliance-Regeln kann sowohl aus infrastruktureller wie aus personeller Sicht durchaus kostspielig sein. Unternehmen müssen Kapitel aufwenden, um die Compliance zu gewährleisten und auch dies kann transparent gemacht werden. Besonders bei sensiblen Branchen wie im Finanzbereich oder Gesundheitswesen kann die Einhaltung der Compliance auch finanziell eine besondere Herausforderung sein.

Folgende Herausforderungen, die mit der Strategie eines Unternehmens zusammenhängen und mit der Einhaltung der Compliance einhergehen, sind:

  • Bestimmen, wie neue Vorschriften die Ausrichtung der Geschäftstätigkeit und das bestehende Geschäftsmodell beeinflussen.
  • Entwickeln einer Compliance-Kultur im Unternehmen und dafür sorgen, dass diese Kultur in der gesamten Organisation gelebt wird.
  • Finden von Compliance-Verantwortlichen und entsprechenden Rollen im Unternehmen sowie die Bestimmung der Verantwortlichkeiten im gesamten Unternehmen und allen Abteilungen.
  • Erkennen von Trends bei der Einhaltung von Vorschriften und neuen Regularien und dies rechtzeitig in die eigenen Prozesse einbeziehen.

Und auch die technische Entwicklung sowie die Veränderungen von IT-Infrastruktur und Arbeitsumfeld kann für Unternehmen zu Komplikationen bei der Einhaltung von Vorschriften führen. Man denke nur an die Nutzung privater, mobiler Geräte der Mitarbeiter am Arbeitsplatz, Stichwort BYOD, auf denen dann auch sensible Daten des Unternehmens landen. Zudem können Mitarbeiter heutzutage von nahezu überall aus und zu jeder Zeit auf IT-Ressourcen des Unternehmens zugreifen. Das Internet der Dinge (Internet of Things, IoT) und zahlreiche mit dem Netzwerk verbundene Geräte und Sensoren können ebenfalls für Schwachstellen in der IT-Umgebung des Unternehmens verantwortlich sein. Damit digitalisierte Unternehmen weiterhin in allen Bereichen die Compliance erfüllen, sind häufig auch zahlreiche Aufgaben der IT-Abteilung betroffen. Dazu zählt etwa das Einspielen der erforderlichen Updates, wenn Schwachstellen entdeckt werden.

Wie unterscheidet sich die Compliance in Branchen und Ländern?

Einige Branchen sind weitaus stärker reguliert als andere – und dies meist mit gutem Grund. So unterliegt die Finanzdienstleistungsbranche gesetzlichen Vorschriften, die die Allgemeinheit und die Anleger vor weniger redlichen Geschäftspraktiken schützen sollen. Energieversorgen müssen sich um besondere Vorschriften in Sachen Sicherheit kümmern und dies gilt auch für weitere kritische Infrastrukturen. Das Gesundheitswesen unterliegt selbstredend strengen Compliance- und Datenschutz-Vorschriften. Schließlich werden hier in großer Menge sensible und persönliche Patientendaten gespeichert.

Die Compliance-Vorschriften variieren von Land zu Land. So ist der Sarbanes-Oxley Act ein US-Bundesgesetz, der Deutsche Corporate Governance Kodex umfasst ganz ähnlich Gesetze wie auch der australische Corporate Law Economic Reform Program Act 2004.

Viele Unternehmen sind international tätig und müssen dementsprechend die Vorschriften jedes Landes, in dem sie tätig sind beachten. Ein weiteres Beispiel ist die EU-Datenschutz-Verordnung (DSGVO/GDPR), die 2016 in Kraft getreten ist und seit Ende Mai 2018 unmittelbar wirksam ist. Die Verordnung beschäftigt sich mit dem Schutz der Daten von EU-Bürgern. Jedes Unternehmen, das mit entsprechenden Daten von EU-Bürgern zu tun hat, muss sich an die DSGVO halten, unabhängig davon, ob das Unternehmen auch in der EU ansässig ist. Genauer gesagt schützt die DSGVO die Daten von allen Menschen, die sich in der EU befinden, auch wenn diese nicht EU-Bürger sind.

Diese Definition wurde zuletzt im März 2020 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance