„Neue Technologien schaffen neue Compliance-Risiken“

Frankfurt/München. Neue Technologien schaffen neue Compliance-Risiken – ob Blockchain oder Big Data. Zu diesem Ergebnis kam jetzt eine Studie der Technischen Universität München gemeinsam mit Anwaltskanzlei Noerr.

Die fortschreitende Digitalisierung stelle Unternehmen und deren Geschäftsleitungen unter Compliance-Gesichtspunkten vor organisatorische Herausforderungen. Das geht aus der Studie von Noerr und dem TUM Center for Digital Public Services von Professor Dirk Heckmann an der Technischen Universität München (TUM) hervor.

Für die Studie, die die deutsche Wirtschaftskanzlei jetzt auf ihrem „Noerr Compliance Day“ in Frankfurt vorgestellt hat, wurden laut den Angaben rund 300 Führungskräfte aus der ersten und zweiten Unternehmensebene befragt.

Erkenntnisse aus der Studie

• Fast jeder zweite (47 Prozent) der Befragten bestätigte, dass sein Unternehmen einem rechtlichen Compliance-Risiko ausgesetzt gewesen sei, u. a. Hackerangriffe, Erpressung oder Datendiebstahl.
• 89 Prozent der befragten Entscheidungsträger haben Maßnahmen getroffen, um ihre digitalen Rechtsrisiken zu verringern. Am verbreitetsten sind interne Stärken-Schwächen (SWOT)-Analysen (63 Prozent) gefolgt von der Bestellung bzw. Verstärkung von Compliance-Beauftragten (48 Prozent). 23 Prozent der Befragten gaben an, dass ihr Unternehmen einen Chief Digital Officer ernannt habe.
• Beim beruflichen Hintergrund der Compliance-Beauftragten zeigt sich ein uneinheitliches Bild: Nach wie vor verfügt der überwiegende Teil der mit Compliance-Aufgaben betrauten Mitarbeiter über ein wirtschafts- oder rechtswissenschaftliches Studium. Spezifische technische Expertise scheint hingegen unterrepräsentiert zu sein. Nur etwas mehr als ein Viertel der Compliance-Beauftragten hat einen Technik- oder Informatik-Hintergrund.
• Auffällig ist, dass Unternehmen mit mehr als 1000 Beschäftigten, börsennotierte Unternehmen und solche mit ausländischer Konzernmutter häufiger Maßnahmen gegen digitale Risiken umsetzen als kleinere, nicht börsennotierte Unternehmen mit Stammsitz im Inland. So haben beispielsweise 77 Prozent der befragten börsennotierten Unternehmen interne SWOT-Analysen vorgenommen, während dies lediglich bei 61 Prozent der nicht börsennotierten Unternehmen der Fall ist.

Das Risiko wird unterschätzt

Der Studie zufolge unterschätzen die meisten Unternehmen die rechtlichen Risiken, die mit neuen Technologien einhergehen. Während 24 Prozent der Befragten das Risiko von Rechtsverletzungen bei der Nutzung von Mobiltelefonen als hoch bzw. sehr hoch einschätzen, waren es bei künstlicher Intelligenz und Blockchain nur 9 Prozent und bei Big-Data-Analysen 8 Prozent.

Dies stehe in einem Spannungsfeld zu den stetig wachsenden regulatorischen Anforderungen, etwa beim Datenschutz oder in der IT-Sicherheit. In seiner Schrems II-Entscheidung vom 16. Juli 2020 hatte der Europäische Gerichtshof den EU-US Privacy Shield für ungültig erklärt und damit rechtskonforme Datentransfers in die USA erheblich erschwert. Allerdings werden viele Cloud-Services gerade von US-Unternehmen bereitgestellt. Da die datenschutzkonforme Übermittlung personenbezogener Daten in Drittstaaten im besonderen Fokus der Aufsichtsbehörden steht, drohen hier hohe Bußgelder und Schadensersatzforderungen betroffener Dritter, so Noerr.

Die Instrumente

Sophia Habbe, Partnerin in Frankfurt und Co-Leiterin der Praxisgruppe Compliance & interne Untersuchungen, meint: „Die Geschäftsleitung sollte sich stärker als bisher vergegenwärtigen: Sie ist persönlich dafür verantwortlich, sämtliche Risiken, die mit der zunehmenden Nutzung digitaler Hilfs- und Arbeitsmittel einhergehen, zu ermitteln und ausreichend Ressourcen bereitzustellen, um diese zu managen.“

Prof. Peter Bräutigam, Partner in München und Spezialist für IT-Recht: „Wir empfehlen unseren Mandanten, ihre Unternehmen möglichst schnell zu digitalisieren – dabei dürfen sie aber nicht die digitale Compliance vernachlässigen, sonst drohen ihnen neben einem Reputationsschaden noch hohe Bußgelder, Schadensersatzklagen und behördliche Verfügungen.“

Wie man nach Studium der TUM/Noerr-Studie anmerken könnte, sollten die Unternehmen bei der Digitalisierung auch insofern Vorsicht walten lassen, als Compliance-Tools selbst wieder rechtliche Risiken heraufbeschwören können – wenn sie nicht fachgerecht umgesetzt werden. Interessant ist, wie die befragten Führungskräfte im Zusammenhang mit der bevorstehenden Whistleblowing-Pflicht einschlägige Tools einschätzen:

• Knapp zwei Drittel der befragten Unternehmen, die selbstentwickelte Compliance-Tools einsetzen, beurteilen diese als gut oder sogar als sehr gut (46 % beziehungsweise 18 %), heißt es in der Studie.
• Mit Dashboard-Tools, Informationstools und Analysesoftware sei ebenfalls noch jeweils die Mehrheit der befragten Führungskräfte zufrieden (zwischen 58 % und 54 % „gut“ beziehungsweise „sehr gut“).
• IT-Systeme nach dem Prinzip Compliance by Design beziehungsweise Compliance by Detection sowie Prozesstools und GRC-Anwendungen bekommen immerhin noch von etwa von der Hälfte der Befragten gute Bewertungen (zwischen 47 % und 50 %).
• Whistleblower-Chatbots bewerten die Führungskräfte dagegen als vergleichsweise negativ. Immerhin jeder zehnte Befragte stellt solchen Tools ein schlechtes Zeugnis aus. Jedenfalls hatte jede sechste Führungskraft Schwierigkeiten, hier überhaupt eine Beurteilung vorzunehmen (17 %), so die Studie.