DA+

Aufsatz : Sanktionsminderung infolge Compliance – ein Überblick

Drohen einem Unternehmen wegen Datenschutz-Rechtsverstößen staatliche finanzielle Sanktionen, so kann dabei eine effektive Compliance Organisation honoriert werden. Auch wenn diesbezügliche Regelungen im Verb-SanG (1) in der vergangenen Legislaturperiode infolge Nichtbefassung im Bundestag gescheitert sind, geben jedenfalls die Rechtsprechung, die Aufsichtsbehörden und auch gesetzliche Regelungen die Vorgaben, nach denen es bei der Bemessung einer Geldbuße auch von Bedeutung ist, ob ein effizientes, auf die Vermeidung von Rechtsverstößen ausgelegtes Compliance-System existiert. (2)

Lesezeit 15 Min.

Konkretisiert wird die von der „Compliance-Organisation“ abhängige Sanktionsminimierung zudem in aktueller Gesetzgebung. So gebietet eine Neuregelung im Gesetz gegen Wettbewerbsbeschränkungen (GWB) (3) dem Bundeskartellamt, effektive Compliance-Maßnahmen bei einem gegen ein Unternehmen verhängtem Kartellbußgeld zu berücksichtigen. (4)

I. Compliance als allgemeine Sorgfaltspflicht

1. Begriffsdefinition

Auch wenn „unabhängig von Sondertatbeständen oder besonderen Anhaltspunkten für eine Rechtsverletzung oder speziellen Gefahrenlagen“ nach wohl h.M. eine umfassende Verpflichtung von Unternehmen zur Etablierung eines allgemeinen Überwachungssystems im Rahmen von unternehmerischen Sorgfaltspflichten nicht bestehen soll, (5) ist gleichwohl angemessene Compliance-Überwachung nicht nur eine Option, sondern eine im Eigeninteresse liegende Pflicht der Leitung eines Unternehmens (§ 130 OWiG). Das gilt allgemein und auch für spezielle Rechtspflichten wie die der Einhaltung des Datenschutzes. (6)

Compliance spiegelt sich in den deutschen Begriffen der Rechtstreue bzw. Regelkonformität. (7)
Sie bedeutet im engeren Sinn (8) die Einhaltung von Gesetz und Recht, d.h. aller gesetzlichen Bestimmungen sowie interner Richtlinien durch das Unternehmen und seine Mitarbeiter, wobei durch das interne Compliance Management bzw. Compliance-System diese Rechtskonformität zu gewährleisten ist. Dies erfordert strukturierte interne Regeln und Richtlinien, deren Einhaltung den Mitarbeitern vorgegeben und von dem Unternehmen überwacht wird. Für deutsche börsennotierte Gesellschaften enthält der deutsche Corporate Governance Kodex (DCGK) (9) die wesentlichen gesetzlichen Vorschriften zur Überwachung und Leitung und gibt zudem – ohne rechtliche Verbindlichkeit – Empfehlungen und Anregungen für die Unternehmensführung.

I.d.R. wird somit Compliance als Gesamtheit aller betrieblichen Maßnahmen verstanden, welche das regelkonforme Verhalten aller Unternehmensangehöriger sicherstellen und gleichwohl stattfindende Verstöße aufdecken oder frühzeitig verhindern sollen. Über das gesetzeskonforme Verhalten hinaus umfasst der Begriff Compliance im Sinne von „Best Practice“ (und nicht nur „Good Practice“) auch
das (ethisch) korrekte Verhalten des Unternehmens und seiner Mitarbeiter. Dieses Ziel verfolgen Unternehmen durch die Einführung von Verhaltensregeln (Codes of Conducts). (10) Beinhalten diese Meldepflichten, dann liegt es nahe, als ggf. einen der Ansprechpartner den Compliancebeauftragten vorzusehen.

Insoweit ist auf Art. 5 DS-GVO hinzuweisen, der den Verantwortlichen verpflichtet, die Einhaltung der Verarbeitungsgrundsätze des Abs. 1 nachzuweisen (Rechenschaftspflicht), wofür eine Einbeziehung der hierzu unternehmensspezifisch erstellten Grundsätze und die Kontrolle ihrer Einhaltung in einer Compliance-Organisation sachgerecht ist.

2. Sanktionsmindernde Honorierung einer Compliance-Organisation

Drohen einem Unternehmen wegen Rechtsverstößen staatliche finanzielle Sanktionen, so kann dabei eine effektive Compliance-Organisation ggf. honoriert werden. Jede Unternehmenssanktion steht in dem Konflikt, dass sie gegenüber dem Unternehmen erfolgt, die Zuwiderhandlungen aber durch Individuen, d.h. Beschäftigte begangen werden. In diesem Spannungsverhältnis erlangen Compliance-Maßnahmen als Beitrag des Unternehmens zur Prävention von Zuwiderhandlungen seiner Repräsentanten und Mitarbeiter herausgehobene Bedeutung. Effektive, d.h. angemessene Compliance-Maßnahmen haben – je nach Konstellation – tatbestandsausschließende oder bußgeldmindernde Bedeutung.

Geltendes und neues Recht erlauben eine Reduzierung der finanziellen Sanktionen eines Unternehmens, wenn das Unternehmen durch ein angemessenes Compliancesystem das Mögliche zur Vermeidung der zur Ahndung anstehenden Rechtsverstöße unternommen hatte. Dies belegt zunächst ergangene Rechtsprechung des BGH (11), nach der bei der Bemessung einer Geldbuße neben den §§ 30 Abs. 3 und 17 Abs. 4 S. 1 OWiG auch von Bedeutung ist, „inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt ist.“ (12)

Bei Verhängung dieser Sanktionen (13), d.h. als Kriterium für die Bemessung eines Datenschutz Bußgelds (Art. 83 Abs. 2 DS-GVO) berücksichtigen die Aufsichtsbehörden die Praktizierung eines Compliancesystems, indem die Sanktionsminimierung auch deshalb erfolgen kann, weil sich ein Unternehmen nach erfolgtem Rechtsverstoß einsichtig zeigt und sich kooperativ zur Erstellung eines neuen Datenschutzkonzepts (mit u.a. einem neu berufenen Datenschutzkoordinator, monatlichen Datenschutz-Statusupdates, verstärktem kommunizierten Whistleblower-Schutz) bereitfindet. Im konkreten Fall ausdrücklich positiv wurde auch das Bemühen der Konzernleitung bewertet, die Betroffenen zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. (14)

II. Gesetzliche Regelungen

1. Das gescheiterte Verbandssanktionengesetz (VerbSanG)

Eine besondere Regelung bzw. zumindest eine Konkretisierung sollten compliancebedingte Sanktionsminderungen im Zusammenhang mit dem Bundestag in der vergangenen Legislaturperiode vorliegenden, aber nicht behandelten Ver bandssanktionengesetz (15) erhalten. (16) Dieses Gesetz sollte die seit geraumer Zeit geführte Diskussion um ein Unter nehmensstrafrecht (17) zu einem positiven Ergebnis führen (18) und zugleich eine gesetzliche Grundlage schaffen, um explizit Compliance-Maßnahmen zu stärken und Anreize für die Aufklärung von Straftaten durch interne Untersuchungen zu schaffen, (19) indem sowohl vor- als auch nachgeschaltete Compliance-Bemühungen beispielsweise bei der Bußgeldbemessung Beachtung finden sollten. (20)

Auch wenn es das Verbandssanktionengesetz in der vergangenen Legislaturperiode infolge des Prinzips der (sachlichen) Diskontinuität (21), nach dem alle Gesetzentwürfe, die bis zum Ende einer Legislaturperiode nicht abgearbeitet sind, verfallen, nicht geschafft hat, (22) so ist das bei einer anderen gesetzlich eingeführten sanktionsmindernden Complianceregelungen anders.

2. Sanktionsmilderung bei Kartellverstößen

a) Kurswechsel im Kartellrecht

In Deutschland fehlte es bis zum Inkrafttreten des GWB-Digitalisierungsgesetzes an einer gesetzlich geregelten Compliance-Defence. Mit der 10. GWB-Novelle (23) wurde das deutsche Kartellrecht bzw. Wettbewerbsrecht grundlegend verändert. Neben einer „Digitalisierung des Kartellrechts“ im Bereich der Missbrauchsaufsicht und neuen Regeln für große Digitalunternehmen bringt die Novelle auch grundlegende Änderungen und Ausweitungen des Eingriffs-, Ermittlungs- und Verfahrensrechts, des Kartellschadensersatzrechts und Bußgeldrechts. (24) Hierzu gehören die Berücksichtigung effektiver Compliance-Programme und des Nachtatverhaltens von Unternehmen bei der Zumessung von Geldbußen oder die Absenkung der Voraussetzungen für den Erlass einstweiliger Maßnahmen.

Ausgangspunkt für die Berechnung des konkreten Bußgeldes (3 ff GWB) gegen Unternehmen und Unternehmensvereinigungen sind die Schwere und Dauer der Tat. Hinzu kommen weitere Kriterien. Dazu zählt vor allem der tatbefangene Umsatz, aber etwa auch, ob das Unternehmen ein Wiederholungstäter ist, Compliance-Maßnahmen ergriffen hat und bestrebt ist, den entstandenen Schaden wiedergutzumachen. Im Rahmen einer Bußgeldsanktion können sich somit Unternehmen mit einem wirksamen und angemessenen Compliance-Management-System auf eine nunmehr gesetzliche Regelung berufen, um bei der Bußgeldbemessung durch das Bundeskartellamt eine Reduzierung zu erreichen. (25) Die kartellrechtliche „Compliance Defence“ hat damit Eingang in das GWB gefunden: (26)

Soll gegen ein Unternehmen oder eine Unternehmensvereinigungen wegen u.a. nach § 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) unzulässiger wettbewerbsbeschränkender Vereinbarungen, Beschlüssen oder abgestimmter Verhaltensweisen nach § 81d Abs. 1 Satz 2 GWB eine Geldbuße verhängt werden, ist dabei Compliance-Maßnahmen, die zur Vermeidung und Aufdeckung von Kartellverstößen geführt haben, unabhängig davon, ob sie vor oder nach der Zuwiderhandlung getroffen wurden, Rechnung zu tragen. Zu berücksichtigen ist das Bemühen des Unternehmens, die Zuwiderhandlung aufzudecken und den Schaden wiedergutzumachen sowie nach der Zuwiderhandlung in Vorkehrungen zur Vermeidung und Aufdeckung von Zuwiderhandlungen zu investieren.

b) Angemessenheit und Wirksamkeit

aa) Allgemeines

Voraussetzung ist, dass die Vorkehrungen angemessen und wirksam sind. Das Gesetz fordert das für Maßnahmen vor der Tat (§ 81d Abs. 1 Nr. 4 GWB). (27) Für die Nachtat-Compliance fehlt es zwar ein einer entsprechenden Qualifizierung (vgl. § 81d Abs. 1 S. 2 Nr. 5). Allerdings spricht eine Auslegung nach Sinn und Zweck dafür, dass auch hier eine Verbesserung des Compliance-Programms auf ein „angemessenes und wirksames“ Niveau erforderlich ist. Wenngleich diese Kriterien nicht ausschließen, dass einzelne Zumessungsfaktoren von Kartellbehörde und Gericht unterschiedlich gewertet werden und sich in der Folge auch die Ergebnisse unterscheiden, ist hiermit der Maßstab gesetzt. (28)

bb) Wirksamkeit

Bei dem Erfordernis der Wirksamkeit kann logischerweise keine absolute Wirksamkeit gemeint sein, weil sonst jeder trotzdem eingetretene Verstoß die Unwirksamkeit belegen würde. Entscheidend kann daher nur sein, dass die konkret geschaffenen Vorkehrungen dazu geeignet waren, den jeweiligen Vorfall zu vermeiden, auch wenn es im Einzelfall zu einem Verstoß gekommen ist oder kommen könnte. Wirksamkeit wird somit unterstellt, wenn „der Inhaber eines Unternehmens alle objektiv erforderlichen Vorkehrungen ergriffen hat, um Zuwiderhandlungen gegen wettbewerbsrechtliche Bestimmungen durch Mitarbeiter zu verhindern. (29) Damit ist
Sanktionsreduzierung als „Belohnung“ dafür eingeführt, dass ein Unternehmen systematisch vorgibt und kontrolliert, dass nach den „Regeln gespielt wird.“

Die Wirksamkeit der Compliancevorgaben hängt von den erkennbaren Willen zu ihrer Durchsetzung ab. Ist ein Verstoß eingetreten, so ist ein Indiz für die Wirksamkeit auch die aktive Kooperation des Unternehmens zur Aufklärung des eingetretenen Verstoßes.

cc) Angemessenheit

Mit der Forderung der Angemessenheit wird dem Umstand Rechnung getragen, „dass die Art und der Umfang von Compliance-Maßnahmen typischerweise von der Unternehmensgröße abhängig sind. Welche Maßnahmen und Vorkehrungen erforderlich sind, hängt „vom jeweiligen Einzelfall ab und dabei insbesondere von Art, Größe und Organisation eines Unternehmens, Gefährlichkeit des Unternehmensgegenstandes, Anzahl der Mitarbeiter, den zu beachtenden Vorschriften sowie dem Risiko ihrer Verletzung. Bei kleinen und mittleren Unternehmen mit geringem Risiko von Rechtsverletzungen können auch wenige einfache Maßnahmen ausreichend sein; der „Zukauf“ eines Compliance-Programms oder von Zertifizierungen ist regelmäßig nicht erforderlich. (30)

dd) Ausmaß der Anrechnung

Hat das bestehende Compliancesystem zur Aufdeckung eines Datenschutzvertoßes geführt, wird die Angemessen- und Wirksamkeit der Kontrolle unterstellt. Jedoch ist dem Unternehmen ggf. auch nur das grundsätzliche Bemühen positiv anzurechnen. Ausgeschlossen ist die Bußgeldreduzierung allerdings dann, wenn die Geschäftsleitung selbst an der Zuwiderhandlung beteiligt war und damit zu erkennen gibt, nicht hinter den Compliance-Anstrengungen zu stehen.

ee) Verhalten nach der Tat

§ 81d Abs. 1 S. 2 Nr. 5 GWB ermöglicht bei der Bußgeldbemessung neben der Berücksichtigung von Compliance-Maßnahmen, die ergriffen wurden, um durch die Tat aufgezeigte Defizite der Compliance zu beheben, auch die Berücksichtigung des sog. Nachtatverhaltens, das in der Gesamtschau zu würdigen ist. Die Vorschrift ermöglicht nicht nur eine Berücksichtigung von Compliance-Maßnahmen, die nach der Tat ergriffen wurden, insbesondere um durch die Tat aufgezeigte Defizite der Compliance zu beheben. Zugleich erlaubt die Norm die Berücksichtigung von Schadenswiedergutmachung und von Maßnahmen des Unternehmens zur Aufklärung der Zuwiderhandlung. Die aktive Kooperation eines Unternehmens kann ein Indiz für die Ernsthaftigkeit solcher Bemühungen sein. (31) Schließen Unternehmen etwa mit den durch das Kartell geschädigten Abnehmern einen Vergleich und zahlen Schadenersatz, könnte das Bundeskartellamt im Gegenzug einen Teil des behördlichen Bußgeldes erlassen. Das setzt aber verfahrensmäßig voraus, dass Vergleichsgespräche schon während des Bußgeldverfahrens geführt werden.

Unternehmen können und sollten somit mit Blick auf die Bußgeldzumessung ihre vor und/oder nach dem Vorfall getroffenen kartellrechtlichen Compliancebemühungen einerseits und mit den Geschädigten getroffene Entschädigungsregelungen andererseits umfassend und um billigende Unterstützung nachfragend vortragen, damit diese in der Bußgeldbemessung von der Behörde pflichtgemäß berücksichtigt werden.

III. Die Compliance-Beauftragten

1. Bestellung von Compliance-Beauftragten

Die Einhaltung einer Compliance-Organisation bedarf jemanden, der sich um sie kümmert und die routinemäßigen und insbesondere auch die „fallbezogen“ notwendigen Abläufe koordiniert. In größeren Unternehmen werden hierzu Compliance-Beauftragte (32) bzw. Compliance-Officer eingesetzt; wobei ihre Bestellung freiwillig oder auch der Vollzug einer allgemeinen Organisationspflicht sein kann. So verpflichtet § 91 Abs. 2 Aktiengesetz (AktG) den Vorstand einer Aktiengesellschaft, geeignete Maßnahmen und insbesondere ein Überwachungssystem zu etablieren, um Entwicklungen, die den Fortbestand der Gesellschaft gefährden könnten, früh zu erkennen, wobei jedoch die konkrete Gestaltung des Überwachungssystems offenbleibt. Eine entsprechende branchenspezifische Spezialregelung gilt für Kredit- und Wertpapierinstitute. § 25 a Kreditwesengesetz (KWG) begründet explizit die Pflicht, für ein angemessenes Risikomanagement zu sorgen, welches die Errichtung eines internen Kontrollsystems enthalten muss. Nach § 25h Abs. 1 KWG besteht die Pflicht, ein angemessenes Risikomanagement zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, die zu einer Gefährdung des Vermögens des Instituts führen, zu schaffen und hierzu Datenverarbeitungssysteme zu betreiben.

Nach § 80 und § 83 Wertpapierhandelsgesetz (WpHG) sind ebenfalls Wertpapierhandelsunternehmen zur Errichtung einer dauerhaften und wirksamen Compliance-Organisation verpflichtet. Dazu zählt dann die konkrete Pflicht, zur Bestellung von – hier jedoch nicht weisungsfreien – Compliance-Beauftragten. Auch für Versicherungsunternehmen gilt nach § 29 Versicherungsaufsichtsgesetz (VAG) eine entsprechende Verpflichtung.

Je nach den Unternehmensspezifika kann daneben eine freiwillige Bestellung eines Compliance-Beauftragten sinnvoll sein. Aufgabe des Compliance-Beauftragten ist es somit, das gesetzmäßige Verhalten, d.h. die Compliance des Unternehmens, mit zu gewährleisten, wobei seine Kompetenzen unterschiedlich sein können.

2. Compliance- und Datenschutzbeauftragte

Eine Personalunion zwischen Datenschutz- und Compliance-Beauftragten scheidet aus, wenn der Compliancebeauftragte auch – wie das bei den genannten gesetzlich vorgegebenen Compliancebeauftragten zutrifft – Regelungskompentenzen hat, (33) deren Ausübung vom Datenschutzbeauftragten kontrolliert werden muss. Personen dürfen nicht zum Datenschutzbeauftragten berufen werden, wenn sie aufgrund noch anderweitiger Funktionen in Interessenkonflikte geraten würden, die über das unvermeidliche Maß hinausgehen. Sofern in der Aufgabenbeschreibung keine Beschränkungen oder Vorgaben vorgesehen sind, obliegt dem Compliance-Beauftragten die Überwachung der Einhaltung sämtlicher von dem Unternehmen zu beachtenden Rechtsvorschriften. Sofern noch erforderlich, hat er das Compliance Management System zu implementieren und zu überwachen, präventive Maßnahmen umzusetzen und Mitarbeiter zu schulen sowie Compliance Vorfälle zu untersuchen und zu melden. Er hat
eine Berichts- und ggf. Beratungsfunktion aber keine Weisungsbefugnis oder ein Vetorecht. (34)

Somit hat der Compliance-Beauftragte generell und der Datenschutzbeauftragte speziell auf den Datenschutz bezogen die Aufgabe, Gesetzesverletzungen vorzubeugen, d.h. zu dem pauschalen Aufgabenbereich das Compliance-Beauftragten gehört auch die Überwachung des Datenschutzes, (35) und die Beratungs- und Kontrollaufgaben des Datenschutzbeauftragten dienen gleichzeitig der Compliance. (36) Beide sind Bestandteil des unternehmerischen Risikomanagements. (37) Gleichwohl ist fraglich, ob die Funktion des Datenschutzbeauftragten und des Compliance-Beauftragten ohne inhärente Interessenkonflikte in Personalunion ausgeübt werden können. (38) Die Meinungen hierzu differieren. (39)

Trotz der gleichen Zielrichtung ihrer Aufgaben besteht ein Spannungsfeld zwischen Datenschutzbeauftragten und Compliance-Beauftragten, das sich daraus ergibt, dass der Compliance-Beauftragte in erster Linie Haftungsfälle des Unternehmens und seines Vorstands vermeiden und somit Unternehmensinteressen verfolgen soll und dass deshalb der Compliance dienende Kontrollmaßnahmen in ihrer Zulässigkeit durch den Compliance-Beauftragten ggf. anders beurteilt werden (40) als durch den Datenschutzbeauftragten und diese zudem eben auch selbst wiederum der datenschutzrechtlichen Kontrolle bedürfen. (41)

Eine andere Frage ist, ob wegen der sich teilweise überlappenden Aufgabenstellung von Datenschutzbeauftragten und Compliance-Beauftragten eine Eingliederung des Datenschutzbeauftragten in die Compliance-Abteilung allein schon zur Erzielung von Synergieeffekten sinnvoll ist. (42) Dabei kann jedoch – entgegen anderer Ansicht (43) – nur eine Pflicht zur beratenden Kooperation und allein eine disziplinarische Aufsicht bestehen. Das gilt umso mehr, wenn das Unternehmen eine der Weisung des Compliancebeauftragten unterliegende Datenschutzabteilung hat. (44)

IV. Fazit

Zur Compliance eines Unternehmens gehört auch seine Datenschutzkonformität. Der Compliance dienende Kontrollmaßnahmen müssen ebenso wie solche der IT-Sicherheit datenschutzkonform verlaufen. Die Einhaltung der Datenschutzgesetze liegt sowohl im Interesse des Compliance-Officer als auch des Datenschutzbeauftragten – hier lohnt sich also jedwede Kooperation. Gleichwohl
sollte wegen der teilweise unterschiedlichen Schutzobjekte – der DSB ist auch Anwalt der Betroffenen (45) – und der beim Compliance-Beauftragten nicht bestehenden Unabhängigkeit zwar eine Personalunion nicht die Regel sein. Geboten ist aber regelungsbasierte Kooperation.

Prof. Peter Gola
Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.

  • (1) Entwurf eines Gesetzes zur Stärkung der Integrität in der Wirtschaft; Art. 1 Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG). BT-Drucksache 19/23568 vom 21.10.2020.
  • (2) BGH, Urteil v. 09.05.2017 – 1 StR 265/16, Entscheidungsgründe Rz. 118.
  • (3) Gesetz zur Änderung des Gesetzes gegen Wettbewerbsbeschränkungen für ein fokussiertes, proaktives und digitales Wettbewerbsrecht 4.0 und andere Bestimmungen (GWB Digitalisierungsgesetz) vom 18.01.2021, BGBl. 2021, 2.
  • (4) Trüg/Ruppert, Die Bedeutung von Compliance-Management-Systemen für die Kartell- und sonstige Verbandsgeldbußen – zugleich ein Plädoyer für rationale Unternehmenssanktionen, Zeitschrift für Wettbewerbsrecht, 1/2020, 69.
  • (5) Im Einzelnen vgl. Thüsing, Beschäftigtendatenschutz und Compliance, § 2 Rn. 2 und 16.
  • (6) Jung, Datenschutz-(Compliance )Management-Systeme – Nachweis und Rechenschaftspflichten nach der DS GVO, ZD 2018, 208.
  • (7) Zur Definition nach wikipedia: Compliance ist die betriebswirtschaftliche und rechtswissenschaftliche Umschreibung für die Regeltreue (auch Regelkonformität) von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes.
  • (8) Vgl. z.B. Hein, Compliance – Haftungsrisiken für die Unternehmenslei tung, EWerk 2/2015, 25.
  • (9) Https://www.dcgk.de.
  • (10) Vgl. die Beispiele bei Gola, Handbuch Beschäftigtendatenschutz, Rn. 795 ff.
  • (11) Kaiser, https://www.cmshs-bloggt.de/gesellschaftsrecht/bgh-bussgeld mindernde-wirkung-eines-compliance-management-systems; Görtz: https://www.awb-international.de/august-2017/bgh-spricht-compli ance-management-systemen-eine-bussgeldmindernde-wirkung-zu.
  • (12) Vgl. BGH, Urt. v. 09.05.2017 – 1 StR 265/16, Entscheidungsgründe Rz. 118; 5.
  • (13) Zur aktuell ungeklärten Rechtslage der Sanktionierung von Unterneh men nach der DS-GVO vgl. Kubiciel, Ungeklaerte Rechtsfragen der Sank tionierung von Unternehmen nach der DS-GVO, PinG, 2021, 81; Wybi tul/Venn, Verteidigung von Unternehmen gegen Geldbußen nach Art. 83 DS-GVO, ZD 2021, 343; Nietsch/Osmonovic, Zurechnung von DS GVO-Verstößen im Unternehmensbereich, BB 2021, 858.
  • (14) HambLfDI: 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren; vgl. insgesamt Wenzel/Wybitul, Vermeidung hoher DS-GVO-Bußgelder und Kooperation mit Datenschutzbehörden Strategische Möglichkeiten zur Vermeidung von Sanktionen, ZD 2019, 290.
  • (15) BT-Drs.19/23568 v. 21.10.2020.
  • (16) Vgl. Gola, Das Verbandssanktionengesetz-E und betriebliche Datenschutzbeauftragte, DuD 2021, 472; Stück, Entwurf eines Verbandssanktionengesetzes – Datenschutz- und arbeitsrechtliche Bedeutung für unternehmensinterne Untersuchungen, ZD 2021, 307.
  • (17) Zöller, Zur Frage der Einführung eines Unternehmensstrafrechts https://www.familienunternehmen.de/media/public/pdf/publikationen-studien/studien.
  • (18) Roxi, Compliance-Maßnahmen und Unternehmenssanktionierung de lege lata, ZIS 2018, 342.
  • (19) Schulz, Wirksames Compliancemanagement; Anreize und Orientierungs hilfe zur Vermeidung von Verbandssanktionen, CCZ 2020, 40.
  • (20) Vgl. Gola, Das Verbandssanktionengesetz-E und betriebliche Daten schutzbeauftragte, DuD 2021, 472 (474).
  • (21) Vgl. § 125 S. 1 Geschäftsordnung des Deutschen Bundestages (GOBT): „Am Ende der Wahlperiode des Bundestages gelten alle Vorlagen als erledigt.“.
  • (22) Der Koalitionsvertrag zur Bildung der neuen Bundesregierung erwähnt die Thematik nicht.
  • (23) BGBl. I, 2021 Teil I; 2021 Nr. 1 v. 18.01.2021.
  • (24) Bien/Käseberg/Klumpe/Körber/Ost Die 10. GWB-Novelle Das neue Kar tellrecht, 2021, München.
  • (25) DISCO-Stellungname: Zur Auslegung der Compliance Defense im GWB Digitalisierungsgesetz (§ 81d Abs. 1 S. 2, Ziff. 4 und 5 GWB) https://www.dico-ev.de/wp-content/uploads/2021/06.
  • (26) Marck, Kartellrechtliche Compliance – Neue Chancen im GWB https://www.marck.eu/aktuelles/kartellrechtliche-compliance-neue-chancen im-gwb.
  • (32) Klopp, Der Compliance-Beauftragte, S. 317 ff.
  • (33) Kamp/Körffer, Auswirkungen des § 32 BDSG auf die Aufgabenerfüllung und die strafrechtliche Verantwortung des Compliance Officers, RDV 2010, 72 (73), sofern in der vertraglichen Aufgabenbeschreibung des Compliancebeauftragten keine Beschränkungen oder Vorgaben vorgesehen sind, wird ihm die Überwachung der Einhaltung sämtlicher Rechtsvorschriften obliegen.
  • (34) Forgo/Helfrich/Schneider/Schröder, Betrieblicher Datenschutz, 3. Aufl., S. 648 ff.
  • (35) Plath/v. d. Busche, 1. Aufl., BDSG a.F. § 4f Rn. 34c.
  • (36) Baumgarten/Hansch, Der betriebliche Datenschutzbeauftragte, ZD 2019, 99 (100).
  • (37) Jaksch/von Daacke, Datenschutzbeauftragter und Datenschutzorganisation unter des DS-GVO, DuD 2018, 758; Renz/Frankenberger, Compliance und Datenschutz. Ein Vergleich der Funktionen unter Berücksichtigung eines risikobasierten Ansatzes, ZD 2015, 158.
  • (38) Zustimmend Ehmann/Selmayr/Heberlein, DS-GVO, Art. 38 Rn. 23, sofern dem Compliancebeauftragten nicht selbst die Verarbeitung personenbezogener und ggf. sensibler Personaldaten obliegt. Vgl. auch Forgo/Helfrich/Schneider/Haag, Betrieblicher Datenschutz, Teil II.1. Rn. 67.
  • (39) Ablehnend Kühling/Buchner/Bergt, DS-GVO Art. 38 Rn. 42 mwN; Simitis/Hornung/Spiecker/Drewes, DS-GVO Art. 38 Rn. 57; Baumgartner/Hansch, Der betriebliche Datenschutzbeauftragte, ZD 2019, 99 (100); Forgo/Helf rich/Schneider/Schröder, Betrieblicher Datenschutz, S. 648 ff; Giersch mann/Saeugling/Schmitz/Thoma, BDSG 1. Aufl. § 4f Rn. 32; ebenso im Ergebnis v. Plath/v. d. Busche, 1. Aufl., BDSG § 4f Rn. 34h.
  • (40) Forgo/Helfrich/Schreiber/Schröder, Betrieblicher Datenschutz, Teil V, Kap. 3 Rn. 72, 84.
  • (41) Vgl. hierzu Gola, Das Geschäftsgeheimnisgesetz und die Datenschutz-Grundverordnung, DuD 2019, 569.
  • (42) Forgo/Helfrich/Schreiber/Schröder, Betrieblicher Datenschutz, Teil V, Kap. 3 Rn. 72.
  • (43) Vgl. hierzu bei Plath/v. d. Busche, 2. Aufl. BDSG § 4f Rn. 34.
  • (44) Zu diesbezüglichen Organisationsfragen ausführlich Simitis/Hornung/Spiecker/Drewes, Datenschutzrecht, DS-GVO Art. 39 Rn. 58 ff.
  • (45) Vgl. Gola, Handbuch zum Beschäftigtendatenschutz, Rn. 311 ff.