oder Mitarbeiter nicht in ausreichendem Maß, drohen auch hierfür Geldbußen nach der DSGVO.
71
Auch wenn die DSGVO selbst keine ausreichend spezifischen Anforderungen an ein effektives Compliance Management System formuliert, können die Grundsätze der DSGVO mithilfe bestehender IT-spezifischer ISO Normen (insbesondere ISO 27001 und ISO 27005) durchaus konkretisiert werden.[27]
72
Neben den klassischen Maßnahmen, wie beispielsweise der Durchführung von Schulungen und Audits, der Einrichtung von Anlaufstellen und der Implementierung unternehmensinterner Richtlinien, kommt dem Datenschutzbeauftragten als „Compliance-Organisation“ eine zentrale Funktion zu.[28]
Anmerkungen
Die ISO 19600 Compliance Management Systeme-Leitlinien wurde im Dezember 2014 veröffentlicht. Darin wird beschrieben, wie in einem Unternehmen ein CMS eingeführt, umgesetzt und die Wirksamkeit nachgewiesen werden kann. Aufgrund des Umstandes, dass die ISO 19600 nur als empfehlende Norm konzipiert war (Level-B-Norm), konnte sie zunächst nicht unmittelbar zertifiziert werden. Vor diesem Hintergrund wurde durch die ISO ein Prozess eingeleitet, um die ISO 19600 zu einer zertifizierbaren Norm (Level-A-Norm) weiterzuentwickeln. Dies wird voraussichtlich Anfang 2021 durch die Veröffentlichung der ISO 37301 erfolgen. Die neue ISO 37301 unterscheidet sich inhaltlich nur geringfügig von der bisherigen ISO 19600. Definiert werden die Anforderungen an den Aufbau, die Umsetzung und die Prozesse für Konzept, Umsetzung und Wirksamkeitskontrolle eines CMS. Zukünftig haben daher Unternehmen die Möglichkeit, durch eine Zertifizierung nach der ISO 37301 die Umsetzung eines wirksamen CMS nachweisen zu können.
Vgl. hierzu auch Soyer/Ruhmannseder Handbuch Unternehmensstrafrecht, Rn. 13.14 ff.
US DOJ, Evaluation of Corporate Compliance Programs, Updated June 2020. Auf: www.justice.gov/criminal-fraud/page/file/937501/download (zuletzt besucht: 11.3.2021).
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Second Edition 2020. Auf www.justice.gov/criminal-fraud/file/1292051/download (zuletzt besucht: 11.3.2021).
Siegler CCZ 2014, 186, 187.
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Second Edition 2020, Chapter 5, S. 66. Auf: www.justice.gov/criminal-fraud/file/1292051/download (zuletzt besucht: 11.3.2021).
Vgl. Scheint NJW-Spezial, in: 2011, 440.
Ministry of Justice, The Bribery Act 2010 Guidance, März 2011. Auf: www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf (zuletzt besucht: 11.3.2021).
The Bribery Act 2010 Guidance, S. 22-23.
Vgl. Art. 17 des Sapin 2.
Schumacher/Saby CCZ 2017, 68 f.
ISO 37001:2016 (E), 8.9 Raising concerns, S. 17 f.
Vgl. Hauschka/Moosmayer/Lösler/Leipold Corporate Compliance, § 50 Rn. 20.
Dieners Handbuch Compliance im Gesundheitswesen, J. EFPIA-Kodices, Rn. 54.
IFPMA, Code of Practice (2019). Auf: www.ifpma.org/wp-content/uploads/2018/09/IFPMA_Code_of_Practice_2019.pdf (zuletzt besucht: 11.3.2021).
AKG e.V., Verhaltenskodex der Mitglieder des „Arzneimittel und Kooperations im Gesundheitswesen e.V.“, April 2015. Auf: www.ak-gesundheitswesen.de/wp-content/uploads/akg-verhaltenskodex-22-04-2015-blanco.pdf (zuletzt besucht: 11.3.2021).
MedTech Europe, Code of ethical Business Practice, Dezember 2015. Auf: www.medtecheurope.org/wp-content/uploads/2017/06/2020_mte_medtech-europe-code-of-ethical-business-practice-qa-dg.pdf (zuletzt besucht: 11.03.2021).
Hauschka/Moosmayer/Lösler/Leipold Corporate Compliance, § 50 Rn. 7.
Ramb CCZ 2015, 262, 264.
US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, April 2019.
