"Der Mittelständler unterliegt den gleichen Gesetzen wie der Konzern." - Ulrich Heun, Carmao GmbH, über Compliance und ihre Wichtigkeit

Wir freuen uns außerordentlich, dass die 2003 gegründete CARMAO GmbH mit Hauptsitz in Limburg a. d. Lahn und Spezialist für ein modernes risikoorientiertes Informationsmanagement 2016 wieder auf dem IT&MEDIA FUTUREcongress vertreten ist. Dabei bietet das Unternehmen Beratungs- und Dienstleistungen sowie Seminare rund um das Informationssicherheits-Management, Informationsrisiko-Management, IT-Security, IT-Compliance sowie 

Ulrich Heun

Datenschutz-Management an. Für ihre zunehmend global tätigen Kunden ist die CARMAO sowohl national als auch international aktiv. Zum Kundenstamm zählen renommierte Unternehmen aus unterschiedlichen Branchen wie Finanzdienstleistungen, Industrie, Maschinenbau, Gesundheitswesen, Logistik und Öffentliche Verwaltung.

Mit Geschäftsführer Ulrich Heun sprachen wir über das Thema Compliance und welche Schritte Unternehmen in Angriff nehmen sollten, wenn Sie sich an das Thema heranwagen.

IT&MEDIA: Herr Heun, bei mittelständischen Geschäftsführern und nicht nur in den Vorstandsetagen großer Unternehmen ist mittlerweile klar, dass Compliance ein immer wichtiger werdendes Thema ist. Warum hat sich diese Entwicklung in den vergangenen Jahren derart beschleunigt?

Ulrich Heun: Die Welt von heute ist nicht mehr die von vor zehn Jahren. Denken Sie an Unternehmen, die durch Verstöße nicht nur in die Schlagzeilen gerieten, sondern die tatsächlich an den Rand ihrer Existenz gedrängt wurden oder sogar tatsächlich schließen mussten. In unserer Erinnerung haften da zwar nur große Namen, auf die ich hier nicht eingehen möchte. Aber ein mittelständisches Unternehmen unterliegt ganz klar den gleichen Risiken wie die großen Konzerne. Die Entwicklung der letzten Jahre zeigt ganz klar eine Verschärfung in der Rechtsprechung – übrigens international -  durch die ganze Bandbreite: Betroffen sind hier unter anderem Strafrecht, Zivilrecht, Kartellrecht wie auch das Arbeits- und das Verwaltungsrecht. Verschärfung der Rechtsfolgen von Aufsichtspflichtverletzungen im Bereich von Straftaten oder Ordnungswidrigkeiten gehen Hand in Hand mit einer erhöhten Aufmerksamkeit in der Presse. Verstöße können über direkte rechtliche Konsequenzen hinausgehen und beispielsweise zum Ausschluss von Ausschreibungen führen. Das sind keine Schreckensszenarien, das ist Alltag!   

IT&MEDIA: Unternehmen setzen mittlerweile eigenes Personal ein, um Compliance-Management zu betreiben. Was sind hier die Hauptschwerpunkte innerhalb dieser Verantwortung?

Ulrich Heun: Das hängt von der betreffenden Position ab. Grundsätzlich ist der Geschäftsführer haftbar und muss sich, sein Unternehmen, die Mitarbeiter sowie die Anteilseigner schützen. Diese Verpflichtung – übrigens unabhängig von der Größe und der Rechtsform des Unternehmens – zwingt per se bereits zum Handeln. Allein die Vielfältigkeit der Rechtsnormen und Möglichkeiten von Verstößen – bedenken Sie, Compliance ist die Einhaltung aller gesetzlichen Regeln sowie auch der internen Regularien – zeigt schon den Aufwand, der sich hinter der Verantwortung verbirgt. Dies erfordert die Einführung eines kompletten Compliance Management Systems, eines Systems, in dem Risiken eruiert, Maßnahmen verabschiedet, Verantwortlichkeiten festgelegt sowie ganze Prozesse letztlich überarbeitet werden. Ein Verhaltenskodex bildet die Grundlage und gibt Mitarbeitern Sicherheit, das Vorleben der Compliance durch die Geschäftsführung macht es dem Mitarbeiter leicht, den Unternehmensgrundsätzen zu folgen. Aber der Mitarbeiter muss auch geschult werden. Die Schulungen müssen regelmäßig aktualisiert werden, der Mitarbeiter benötigt Hilfestellungen und Anwendungen, die ihn im laufenden Betrieb zur Seite stehen.   

IT&MEDIA: Besteht ihrer Meinung nach denn überhaupt eine Notwendigkeit für ein Compliance-Programm im Unternehmen oder wird hier mit "Kanonen auf Spatzen" geschossen?

Ulrich Heun: Diese Frage beantwortet sich eigentlich schon aus den vorangehenden. Compliance, mittlerweile als notwendiges Übel zumindest akzeptiert, wird mehr und mehr zum Wettbewerbsvorteil, denn jedes Unternehmen weltweit sucht Geschäftspartner mit ähnlich hohen Ansprüchen an einen solchen Codex, einen „Code of Conduct“. Es ist schon üblich, vor Vertragsabschluss mit einem Geschäftspartner diesen auf Einhaltung gesetzlicher Regelungen ausdrücklich zu verpflichten – und bitte schön immer dabei beachten: Wir reden von internationalen Gesetzen! Denn unser Land ist eine Exportnation. Zeigen Sie mir den Mittelständler, der nicht in andere Länder liefert oder dort sogar Niederlassungen hat. Darüber hinaus steigt die Wichtigkeit der Compliance auch für eine Nachfolgeregelung. Die massive Verbreitung des Gedankens der „sauberen“ Geschäfte weltweit zeigt ganz klar, dass jede Investition in ein solides Compliance Management System keine Einbahnstraße ist.

IT&MEDIA: Die CARMAO GmbH betreut ja neben sehr großen Unternehmen auch mittelständische Unternehmen. Wie sieht aus ihrer Sicht der mittelständische Eigentümer oder Manager die Relevanz konkreter Gesetze, Normen und Standards im Hinblick auf Compliance?

Ulrich Heun: Der Mittelständler unterliegt den gleichen Gesetzen wie der Konzern. In jedem Land, in dem er auftritt. Nur hat der Mittelständler oft nicht den Luxus großer Rechts- oder Complianceabteilungen, die international Hand in Hand arbeiten. Hier ist ein großes Potential.

IT&MEDIA: Können Sie uns in kurzen Worten beschreiben mit welchen Instrumenten Sie in der Beratung dieser Unternehmen vorgehen und wo liegen in der Regel die größten Herausforderungen?

Ulrich Heun: Nun ja, wir haben da eher noch keine Lösung. Wir stehen dem Kunden zur Seite während der gesamten Phase der Integration und auch später lassen wir ihn nicht auf diesem, für ihn letztlich zwar geschäftsrelevanten aber nicht kerngeschäftszugehörigen Gebiet alleine. Wir führen mit ihm sämtliche Maßnahmen zur Implementierung eines umfassenden Compliance Management Systems durch, wir erarbeiten die Risikoanalyse, klären Prozesse, setzen Verantwortungen, schulen die Mitarbeiter, erarbeiten gemeinsam ein Konzept zur regelmäßigen Selbstschulung der Mitarbeiter durch sogenannte Web based Trainings, die ja einem international aufgestellten Unternehmen über Grenzen hinweg einen gleichen Standard an Knowhow-Transfer mit geringsten Kosten ermöglichen und informieren bei Gesetzesänderungen. Gerne stellen wir einen Ansprechpartner für Compliancefragen, führen regelmäßige Compliance Audits durch und sichern so Transparenz und Konformität. Das alles ist letztlich nur eine Frage der Vereinbarung zwischen dem Kunden und uns, denn unsere Leistung ist modular aufgebaut und sehr vielschichtig.

IT&MEDIA: Eine eigene Stelle für das Compliance Management einzurichten ist nicht ganz günstig, bietet aber auch eine hohe Sicherheit. Was würden Sie Unternehmen raten, die sich diesem Thema nähern. Ist dieses Thema grundsätzlich erst einmal Chefsache?

Ulrich Heun: Compliance ist ganz klar erst einmal Chefsache. Tone from the top ist unabdingbar. Die Einführung neuer Prozesse, die Durchsetzung von Compliance-Verhaltensregeln und letztlich das Vorleben dieser Kultur geht ohne Committment der Geschäftsleitung nicht. Aber die Geschäftsleitung kann diese Themen nur anstoßen, bei der Umsetzung müssen andere Kapazitäten aushelfen, da ja die Geschäftsleitung ungeachtet ihrer Haftbarkeit letztlich für das Unternehmen auch noch andere lebensnotwendige Aufgaben hat, die nicht zu kurz kommen dürfen. Eine Delegation von Aufgaben an einen Complianceverantwortlichen ist daher sehr anzuraten. Wie soll ein Geschäftsführer neben seinen ganzen Verpflichtungen selbst noch die Aktualität der Gesetze, die Aktualität des Wissenstandes seiner Mitarbeiter, die Regelkonformität von Prozessen bis hin zur Aktualität der Anwendungen und Hilfestellungen im Bereich Compliance überwachen?     

IT&MEDIA:  Ein Compliance-Management-System, das sich praktisch von Unternehmen zu Unternehmen kopieren lässt, wird es nicht geben. Können Sie dennoch einen groben Fahrplan für ein Unternehmen beschreiben, das eine Einführung eines Compliance-Management-System vorhat?

Ulrich Heun: Sehen Sie, das Ziel von Compliance ist Sicherstellung der Einhaltung der Gesetze sowie interner Richtlinien zur Ausschließung von Haftung oder anderen Nachteilen für die Gesellschaft, deren Organe sowie der Mitarbeiter. Als Grundlage dient grundsätzlich – ohne auf eine spezielle Regelung einzugehen – eine Rechtspflicht der Unternehmensleitung, durch organisatorische Vorkehrungen für regelkonformes Verhalten der Unternehmensangehörigen zu sorgen. Die Implementierung eines Compliance Management Systems, also der Gesamtheit der implementierten Maßnahmen und Prozesse zur Sicherstellung der geforderten Regelkonformität, ist der Eckstein einer wirksamen Compliance-Struktur. Die ISO 19600 bietet hier erstmals einen sehr zentralen und enorm effektiven Rahmen für ein Compliance Management System. Es schafft international einheitliche Rahmenbedingungen bei dessen Einrichtung und Implementierung in verschiedensten Organisationstypen und gibt gerade mittelständischen Unternehmen die Flexibilität, ihren eigenen und angemessenen Weg in verschiedenen Phasen zu Compliance zu finden. Bei der spezifischen Anpassung und Implementierung eines solchen Compliance Management Systems unterstützen wir, wie erwähnt, zielgerichtet.

IT&MEDIA: Herr Heun, die CARMAO GmbH hat die Themenpatenschaft im Bereich Datenschutz und IT Sicherheit auf dem 4. IT&MEDIA FUTUREcongress übernommen. Wir freuen uns sehr auf ihre Moderation und die spannenden Themen rund um Ihren Messeauftritt. Was werden Sie Neues auf Ihrem Messestand präsentieren?

Ulrich Heun: Wir konzentrieren uns in diesem Jahr auf zwei wichtige Themen, die immer enger zusammenwachsen. Zum einen steht die Einrichtung und die fortlaufende Verbesserung von Informationssicherheitsmanagementsystemen nach BSI IT-Grundschutz sowie der internationalen Norm ISO/IEC 27001 im Mittelpunkt. Wir zeigen das ISMS-Tool verinice unseres Geschäftspartners Sernet GmbH mit dessen Hilfe man insbesondere das bekannte GSTOOL des Bundesamts für Sicherheit in der Informationstechnik (BSI) ablösen kann, welches ja Ende 2016 aus der Wartung läuft und vom Markt genommen wird. In Verbindung mit verinice zeigen wir auch eine interessante Kombination mit dem Greenbone Schwachstellenscanner zur Einrichtung eines effizienten Schwachstellenmanagements. Als zweites Schwerpunktthema steht das Compliance-Management für mittelständische Unternehmen im Fokus. Die gesetzlichen und regulatorischen Anforderungen werden auch für kleinere und mittelgroße Unternehmen immer umfangreicher und komplexer. Um hier noch einen Überblick zu behalten und die Risiken aus der Verletzung von Compliance-Vorgaben zu mindern, sind intelligente und einfach zu handhabende Lösungen und Ansätze gefragt. Wir informieren auf unserem Stand die interessierten Besucher über die Herausforderungen und Lösungsansätze für ein systematisches Compliance-Management.

IT&MEDIA: Ich glaube das trifft genau den Nerv der Zeit. Dann bedanke ich mich ganz recht herzlich für das Gespräch.

Sie finden die Carmao GmbH am 11. Februar 2016 auf der Ebene 1, Stand 1E7

ticket it and media

Jetzt Ticket für den 4. IT&Media FUTUREcongress bestellen!

Kontakt aufnehmen

AMC Media Network GmbH & Co. KG 
Robert-Bosch-Str. 7
64293 Darmstadt

telefon

Tel:  +49 (0) 6151 – 957 577 -0
Fax:  +49 (0) 6151 – 957 577 -9

email post

Mail:office@amc-media-network.de

Web:www.amc-media-network.de

Sie erreichen uns...

während unserer Bürozeiten 

  • Mo-Fr: 9:00 Uhr - 17:00 Uhr 
  • Samstag und Sonntag ist das Büro geschlossen