31.

Okt

Es wird viel geschrieben und berichtet zum Thema Lieferketten-Compliance, ob zum deutschen Lieferkettensorgfaltspflichtengesetz (LkSG), der entsprechenden EU-Direktive, die dazu in Vorbereitung ist, oder den international schon länger gültigen und ebenfalls die Lieferkette betreffenden exterritorialen Gesetze wie den UK Bribery Act (UKBA) oder den US Foreign Corrupt Practices Act (FCPA). Meine Kolleginnen haben sich bereits inhaltlich mit den einzelnen Richtlinien wie auch den weiteren Kontext zu Bestechung, Korruption und ESG auseinandergesetzt und dies in anderen Blogbeiträgen veröffentlicht. [👉Pinar Karacinar-Gehweiler: Compliance-Anforderungen aufgrund des Lieferkettensorgfaltspflichtengesetzes; 👉Lea Ilina: ESG im Spannungsfeld der Korruption]. Dieser Blogbeitrag skizziert nun ein entsprechendes IT-System zur Unterstützung der Lieferketten-Compliance und zeigt auf, welche Komponenten wie und warum Teil eines solchen Systems sein sollten.

Auch wenn die oben genannten Regulatorien auf den ersten Blick wenig gemein zu haben scheinen, so verbinden sie doch alle mindestens die nachfolgenden Punkte:

  • Risikoanalyse: Die Basis für die Erfüllung der Regulatorien ist die Erstellung einer unternehmensspezifischen Risikoanalyse, die u.a. die Lieferanten, deren Beziehung zum eigenen Unternehmen, Regionen, Produkte und Services, Vertragsarten und weitere Risikoobjekte abdeckt. Es erscheint sinnvoll, dies einmal für alle Regelwerke zu erstellen, falls noch nicht geschehen, oder die bestehende Risikoanalyse entsprechend zu erweitern.
  • Lieferanten-Screening: Der offenkundigste Teil eines Systems für die Lieferketten-Compliance ist die Prüfung der Lieferanten nach dem „Know Your Customer“ (KYC)-Prinzip. Dieser Teil wird im Markt unterschiedlich bezeichnet: KYV („Know Your Vendor“), KYBP („Know Your Business Partner“), etc. Wir übersetzen das „C“ gerne mit Counterpart und können ohne Probleme mit dem KYC-Prinzip auskommen. Abgesehen von der Begriffsverwirrung geht es hier darum, den Geschäftspartner an sich und die gegebenenfalls relevanten Akteure des Partners zu kennen und gegen einschlägige Listen zu prüfen. Neben Sanktionslisten sind auch PEP-Listen (PEP = Politisch Exponierte Personen) sowie weitere Informationen wie negative Nachrichten („Adverse Media“) einzusetzen. Hier sind drei Stufen zu beachten: Identitätsprüfung, Integritätsprüfung sowie die spezifische Risikoprüfung gegen die in der Risikoanalyse identifizierten Risiken. Dieses Screening erfolgt initial bei der Anfrage/Entscheidung, ob eine Geschäftsbeziehung eingegangen werden kann/darf/soll sowie fortlaufend und risikobasiert.

Daraus ergibt sich kurz folgende Prozesssicht auf die Thematik:

Prozessuale Sicht Geschäftspartner-Screening

Abb. 1: Prozessuale Sicht Geschäftspartner-Screening

 

Die Zusammenlegung der skizzierten Themen ermöglicht das Heben von Effizienz- und Produktivitätsvorteilen. Es lässt sich so ein einheitliches System für die Geschäftspartner-Compliance herstellen, welches die diesbezüglichen unternehmensspezifischen Risiken ganzheitlich abdeckt und darstellt. Neben Transparenzvorteilen ergibt sich hieraus vor allem eine Redundanzvermeidung in der Bearbeitung unternehmensintern wie auch auf Seiten des Geschäftspartners, also des Lieferanten. Die Unterstützung durch ein flexibles IT-System, der Einfachheit halber Lieferketten-Compliance-Lösung genannt, trägt weiter zur Kostensenkung durch Vermeidung von IT-Silos, redundanter Datenaufbereitung und -haltung und zur Verringerung der sonstigen direkten und indirekten Kosten einer solchen Softwarelösung im Vergleich zu mehreren Einzellösungen bei.

Aus den oben angeführten Überlegungen im Zusammenhang mit der prozessualen Sicht auf einen Geschäftspartner-Lebenszyklus ergibt sich für den Aufbau einer solchen, flexiblen Softwarelösung folgender schematischer Aufbau, angefangen mit den Kernprozessen:

  • Identitätsprüfung (Überprüfung der Stammdaten von Geschäftspartnern): Neben legalem Namen und Adresse sind beispielsweise die Mitglieder der Organe (Geschäftsführer, Beiräte, Vorstände, etc.) wie auch die Eigentumsverhältnisse (Stichwort: Wirtschaftlich Berechtigte) zu erfassen. Diese Informationen spielen bei der automatisierten Weiterverarbeitung aus unterschiedlichen Gründen eine wichtige Rolle. Diese Prüfung muss während des Onboarding-Prozesses, aber auch zur kontinuierlichen Überwachung durchgeführt werden. Wie der Prozessname es erahnen lässt, geht es hierbei um die Identitätsfeststellung des Geschäftspartners in all seinen Facetten. Anbindungen an Auskunfteien und Intermediäre, wie z. B. Dun & Bradstreet oder ähnliche, können den Automatisierungsgrad erhöhen. Die Verwendung von flexiblen, dynamischen, digitalen Fragebögen kann ebenfalls positiv auf die Effizienz wirken. Sie helfen Redundanzen zu reduzieren und sind als Self-Service-Komponente beispielsweise im Bieterprozess nutzbar.
  • Integritätsprüfung (Überprüfung der identifizierten Stammdaten von Geschäftspartnern anhand einer Reihe von Listen (direkte wie indirekte/sektorale Sanktionen, PEP, Unternehmen mit schlechter Presse/unfreundlichen Medien, etc.)): Dieser Listensatz unterscheidet sich von dem, der für die Identitätsprüfung verwendet wird. Üblicherweise kommen hier Compliance-spezifische Listen zum Einsatz. Natürlich kann im Bereich des Sanktionsmanagements auch mit den öffentlich bereitgestellten Listen der EU, USA, UK und beispielsweise der Weltbank gearbeitet werden. Im Rahmen einer Make-or-Buy-Betrachtung sind aber sowohl Aufwand wie auch Risiken des Datenmanagements zu beachten. Neben der Prüfung im Onboarding eines Geschäftspartners ist dies auch kontinuierlich zu prüfen, da sich das Integritätsrisiko ständig verändern kann.
  • Spezifische Risikoprüfung: Zur Überprüfung der erweiterten Daten von Geschäftspartnern auf Beziehungsrisiken bezüglich regulatorischer Aspekte (nicht operativer Risiken) werden aus der Risikoanalyse abgeleitete Regeln definiert, die dann zu sogenannten „Red Flags“ führen können, also risikorelevanten Sachverhalten, die es zu bewerten und zu bearbeiten gilt. Es gebietet sich, diese Prüfung beim Onboarding des Geschäftspartners durchzuführen und nach Entscheidung der Aufnahme einer Geschäftsbeziehung periodisch auf Basis der Risikoeinstufung zu überprüfen. Es empfiehlt sich weiter, das Risikomodell flexibel gestalten zu können. Damit ist einerseits die Möglichkeit gemeint, beliebig weitere Prüfregeln zu definieren – am besten durch die jeweilige Fachabteilung – sowie andererseits auch die Veränderung des Risikobewertungsmodells vorzunehmen. Ein Risiko-Scoring-Modell mit dominierenden Risiken hat sich hier als effektiv wie effizient herausgestellt. Auch hat sich in der Vergangenheit die bereits angesprochene digitale Fragebogenkomponente als vorteilhaft erwiesen, solange sie flexibel im Aufbau und dynamisch interaktiv bei der Beantwortung agieren kann.
  • Event- & Transaktionsprüfung: Die Event- und Transaktionsprüfung kann in unterschiedlichen Komplexitätsstufen umgesetzt werden. Neben einigen Standardprüfungen bei Hochrisikotransaktionen kann hier beispielswiese auch auf Basis eines bereits im Einsatz befindlichen Betrugspräventionssystems gearbeitet werden. Auch wenn dies nicht zu empfehlen ist, wird dieser Bereich bei einer Software-gestützten Lösung oftmals nachrangig behandelt. Dies hat nicht zuletzt mit der Komplexität der Sache in Verbindung mit der umgesetzten Prozessrealität in Unternehmen und in deren ERP-Systemen zu tun. Gerne wird diese Prüfung daher transaktionsspezifisch per Organisationsanweisung auf die sogenannte „First Line of Defence“ (Operative Kontrollen) und „Third Line of Defence“ (Interne Revision) sowie Hinweisgebersysteme ausgelagert und nachrangig mittels IT unterstützt. Hier ergeben sich durch künstliche Intelligenz sowie Process-Mining-Funktionalitäten aber neue, sehr effiziente Möglichkeiten einer IT-Unterstützung und Automatisierung, die das in diesem Bereich liegende Risiko von Bestechung und Korruption deutlich mindern können.
  • Fallmanagement: Alle Warnungen und generierten Fälle aus Identitäts-, Integritäts- und Risikoprüfungen müssen analysiert und entschieden werden, gegebenenfalls erst nach einer erweiterten Prüfung, die man auch „Enhanced Due Diligence“ (EDD) nennt. Ein Fallmanagement macht dies alles transparent, ermöglicht die Sicherstellung der notwendigen Bearbeitungsqualität sowie die komplexitätsgesteuerte Verteilung bzw. Delegation von Hinweisen, Fällen oder Teilaspekten davon. Typischerweise generiert die Softwarelösung auf Grund der bisherigen Prüfschritte einen Vorschlag für das initiale Risiko, welches es zu bestätigen oder zu verwerfen gilt. Das wiederum definiert, dass das Risiko idealerweise wie folgt zu unterteilen ist:
    • Initiales Risiko, welches initial beim Onboarding identifiziert und bestätigt wird.
    • Laufendes Risiko, welches sich kontinuierlich durch die Zusammenarbeit ergibt und verändert (vor allem durch risikorelevante Stammdatenänderungen oder entsprechende Events und Transaktionen).
    • Manuelles Risiko, welches durch einen entsprechend berechtigten Mitarbeiter manuell eingesteuert wird.
    • Vererbtes Risiko, welches z. B. durch Firmenzusammengehörigkeit bzw. wirtschaftlich Berechtigte besteht. Im Gegensatz zu den vorgenannten drei ist diese Risikoart optional im Zusammenhang mit der Geschäftspartner-Compliance zu sehen.
  • Freigabemanagement: Die Akzeptanz einer bestimmten Risikoposition eines bestimmten Geschäftspartners muss von den Entscheidungsträgern des Unternehmens in enger Zusammenarbeit mit Compliance genehmigt werden. In den meisten Fällen tritt Compliance nur als Ratgeber auf, in anderen Fällen sollte es ein Entscheidungs- bzw. Vetorecht einfordern. Dies geschieht im Rahmen des Freigabemanagements. Im Zusammenhang mit dem oben genannten Risikomodell kann so ein identifiziertes Bruttorisiko, welches sich aus der Risikoanalyse ergibt, durch Maßnahmen im Zusammenhang mit der Geschäftsbeziehung und dem zugehörigen Vertragswesen reduziert werden − sofern man das zulassen möchte. In einem solchen Fall ergibt sich dann das Nettorisiko, über welches zu entscheiden wäre. Es versteht sich von selbst, dass alle Maßnahmen im Rahmen des Genehmigungsverfahrens mitprotokolliert werden müssen, um eine Revisionssicherheit gewährleisten zu können. Die prozessuale Darstellung oben zeigt auf, dass dies nicht nur für das Freigabemanagement gilt, sondern sich durch den Gesamtprozess zieht.
  • Reporting: Neben Auditberichten sind hier vor allem die regulatorisch notwendigen Lageberichte zu nennen, die aus der Anwendung heraus, vorlagenbasiert unterstützt werden sollten, um Zeit und Aufwand zu sparen. Auch das Berichtswesen für das Management zur Risikosituation entlang der Lieferkette sowie die Governance über den gesamten Geschäftspartner-Prozess sind in diesem Zusammenhang anzuführen.

Nachdem die Kernprozesse grob beschrieben wurden, ergibt sich die Frage der Akteure, die an bzw. mit einem solchen System arbeiten müssen, also die Frage nach Schnittstellen und Benutzerrollen. Auch hier ist die Auflistung schematisch zu verstehen.

Schnittstellen:

  • ERP-System(e): Hier ist vor allem das Stammdaten-führende System gemeint. Das kann ein ERP-System sein oder aber auch ein CRM-, SCM-, MDM-, Bieterportal oder ein ähnliches System, welches die Stammdaten, Ereignisse und Transaktionen von Geschäftspartnern verwaltet (z. B. Microsoft, Salesforce, SAP, u.a.). Nicht selten sind es mehrere Systeme. Die Art der Integration entscheidet über den Grad der Automatisierung und die Akzeptanz des Systems im Gesamtprozess.
  • Auskunfteien/Research-Anbieter: Dies sind öffentliche oder lizenzierte Anbieter von relevanten Inhalten zu Geschäftspartnern, die zur Stammdatenpflege wie auch zur Risikoprüfung verwendet werden können/sollten (z. B. Dow Jones, Dun & Bradstreet, Moody’s, aber auch öffentliche Listen der EU, UK, USA usw.). Hier ist aus Risikogesichtspunkten zu definieren, mit welchen Anbietern und Datenquellen gearbeitet werden soll. So gibt es spezielle Anbieter, die auf Geschäftspartner aus bestimmten Regionen, z. B. die vormaligen GUS-Staaten oder auch die arabisch sprechende Welt, spezialisiert sind, sowie Generalisten. Je nach Risikoappetit kann für die einfache Risikoprüfung der eine, für die erweiterte Risikoprüfung oder die Qualitätssicherung ein anderer Anbieter gewählt werden.
  • Internet: Für eine tiefere Onlinerecherche über einen bestimmten Geschäftspartner sollte eine protokolierbare Internet-Recherche bereitgestellt werden.
  • Whistleblower/Beschwerdemanagement: Eine Beschwerdemöglichkeit über direkte/indirekte Geschäftspartner ist z. B. nach LkSG einzurichten und abzudecken. Es muss dann eine Untersuchung und Risikoneubewertung durchgeführt werden. Dies kann als Schnittstelle zu einem existierenden System umgesetzt werden oder durch eine Organisationsanweisung und manuelle Erfassung eines entsprechenden Hinweises im Rahmen des Kernprozesses zum Fallmanagement.

Zu den Schnittstellen ist zu bemerken, dass hier nicht auf spezielle, landes- oder industriespezifische Berichtsanforderungen zu Aufsichtsbehörden eingegangen wird, die gegebenenfalls eine weitere Schnittstellenanforderung darstellen können.

Benutzerrollen:

  • GP-Antragsteller: Diese Rolle beantragt einen neuen Geschäftspartner/Lieferant und/oder eine neue Geschäftspartnerbeziehung.
  • GP-Eigentümer: Diese Rolle „besitzt“ einen bestimmten Geschäftspartner und/oder eine bestimmte Geschäftspartnerbeziehung und ist für diese verantwortlich.
  • Compliance: Diese Rolle soll nur exemplarisch Compliance als Anwenderrolle darstellen. Gerne wird diese noch beliebig unterteilt.
  • Genehmiger: Diese Rolle steht exemplarisch für die geschäftlichen Entscheidungsträger, welche die Aufnahme eines bestimmten Geschäftspartners und/oder die Änderung des Risikopotenzials eines bestehenden Geschäftspartners prüfen und genehmigen/verweigern können.
  • Geschäftspartner: Der Geschäftspartner bzw. Lieferant kann in den Prozess direkt im Rahmen eines Self-Service miteinbezogen werden.

Zu den Rollen ist zu bemerken, dass diese immer unternehmensspezifisch einzurichten sind und sich diese wie auch die Rollenbezeichnungen durchaus anders darstellen können.

Daraus ergibt sich grob das folgende Use-Case-Diagramm für ein IT-gestütztes Lieferketten-Compliance-System:

Use-Case-Diagramm eines IT-gestützten Systems für die Lieferketten-Compliance

Abb. 2: Use-Case-Diagramm eines IT-gestützten Systems für die Lieferketten-Compliance (ohne Ereignis-/Transaktionsmonitoring)

 

Die skizzierte IT-gestützte Umsetzung eines Geschäftspartner-Compliance-Systems ist generisch und kann in dieser Form die regulatorischen Compliance-Anforderungen zur Zusammenarbeit mit Geschäftspartnern allgemein (Vertriebspartner, Joint-Ventures, Forschungsinitiativen, HR-Partner, etc.) sowie Lieferanten im Speziellen unterstützen. Auf aufsichtsrechtliche Spezifika wurde aus Gründen der Übersichtlichkeit ebenso verzichtet wie auf industriespezifische Anforderungen. Im Rahmen dieser Blogreihe werden wir in Kürze auch Einblicke bzw. Beispiele geben zu Risikomodell, Prüfstrategie und Reporting. Es lohnt sich also, dem #rethinkcompliance Blog zu folgen und dranzubleiben.

12.

Sep

Im April 2013 ging ein Aufschrei durch die Medien, als bei einem Gebäudeeinsturz einer Textilfabrik in Indien über 1.000 Menschen ihr Leben ließen. Die betroffenen Mitarbeiter hatten zuvor Risse am Gebäude entdeckt, wurden aber gezwungen weiterzuarbeiten. Die Frage der Schuld und der Verantwortlichen stand im Raum. Waren es die Vorgesetzten, welche die Mitarbeiter trotz der bekannten Mängel am Gebäude zum Weiterarbeiten zwangen? Trugen nicht auch die internationalen Modeketten, die ihre Produkte möglichst günstig herstellen lassen, eine Mitschuld? Oder am Ende nicht auch der Verbraucher, für den Textilien nicht billig genug sein können?

Diese Tragik des Verlusts von so vielen Menschenleben am Arbeitsplatz war Anstoß für eine Diskussion über Verantwortung. Plötzlich wurde weltweit über faire Arbeitsbedingungen in der Textilbranche diskutiert. Auch wenn das nicht die Geburtsstunde des Lieferkettensorgfaltspflichtengesetz (LkSG) war, hat es zumindest die Bestrebungen in diese Richtung beschleunigt.

Ein halbes Jahr nach dem Unglück gab es ein Abkommen namens „Rana Plaza Arrangement“, wodurch Angehörige Entschädigungen erhielten. Die Firmen haben sich zunächst geweigert und erst im Oktober 2015 wurde den Betroffenen die Entschädigungen ausbezahlt. Eine weitere, durch dieses Ereignis ausgelöste Veränderung war das Gebäudesicherheitsabkommen „Accord on Fire and Building Safety in Bangladesh“. Diese steht für besseren Schutz und mehr Sicherheit in den Textilfabriken, um die Missstände dort aufzuheben. Ende 2013 wurde auch der Mindestlohn der Textilarbeiter endlich angehoben.[i]

Was wird vom Lieferkettengesetz erfasst?

Unternehmen sind sich im Regenfall der Risiken ihres Agierens im internationalen Kontext bewusst. Dennoch lautet der Vorwurf häufig, dass sie beispielsweise günstig im Ausland produzieren, ohne sich um die Risiken, die für Mensch und Umwelt entstehen, zu kümmern. Genau hier setzt das LkSG an. Künftig tragen Unternehmen die Verantwortung für die Verletzung von Menschen und Umweltrechten entlang der Lieferkette.

Das am 11. Juni 2021 verabschiedete so genannte Lieferkettengesetz soll dafür Sorge tragen, dass Unternehmen von der Rohstoffgewinnung bis zum Endkunden auf Menschenrechte und die Umwelt achten. Dies gilt sowohl im In- als auch im Ausland. Dadurch sollen beispielsweise Kinderarbeit, Zwangsarbeit, Diskriminierung und mangelnde Sicherheitsstandards in der Lieferkette verhindert werden. Durch bessere Arbeitsbedingungen soll das Risiko für Arbeitsunfälle und andere Gesundheitsrisiken minimiert werden.

Der Begriff der Lieferkette ist weit gefasst. Davon werden gemäß § 2 Abs. 5 LkSG sämtliche Produkte und Dienstleistungen erfasst, insbesondere alle Schritte im In- und Ausland, die zur Herstellung der Produkte und zur Erbringung der Dienstleistungen erforderlich sind. Darüber hinaus ist neben der direkten Anwendbarkeit auch die mittelbare Ausstrahlungswirkung des LkSG zu berücksichtigen.

Ab wann müssen die Inhalte des neuen Gesetzes umgesetzt werden?

Am 1. Januar 2023 wird das LkSG in Kraft treten. Unternehmen müssen jetzt schon ihr Risikomanagement entsprechend der neuen gesetzlichen Anforderung anpassen. Das Lieferkettengesetz verpflichtet alle Unternehmen dazu, einen klaren verhältnismäßigen und zumutbaren gesetzlichen Rahmen zur Erfüllung der menschenrechtlichen Sorgfaltspflichten einzuhalten. Die Anforderungen orientieren sich am Due-Diligence-Standard.

Ist mein Unternehmen vom LkSG betroffen?

Das LkSG ist auf alle Unternehmen nach deutschem oder ausländischem Recht unabhängig von ihrer Rechtsform anwendbar, wenn sie ihren Hauptverwaltungs- oder Satzungssitz oder ihre Hauptniederlassung in Deutschland haben.

Zudem werden auch Unternehmen erfasst, die gemäß § 13 d HGB eine Zweigniederlassung in Deutschland haben. Auch deutsche Tochterunternehmen können in den Anwendungsbereich des LkSG fallen.

Weitere Voraussetzung ist, dass es sich um Unternehmen mit mindestens 3.000 Beschäftigten handelt, wozu auch etwaige ins Ausland entsandte Arbeitnehmer zählen. Bei Obergesellschaften ist die Mitarbeiterzahl aller konzernangehörigen Gesellschaften einzuberechnen. Bei der Mitarbeiterzahl müssen auch Leiharbeitnehmer, die mindestens sechs Monate für das Unternehmen tätig sind, berücksichtigt werden.

Ab dem 1. Januar 2024 sinkt dieser Schwellenwert von 3.000 auf 1.000 Mitarbeiter.

Im Sommer 2024 soll darüber hinaus entschieden werden, ob der Anwendungsbereich des LkSG noch weiter ausgedehnt wird, so dass auch Unternehmen mit weniger als 1.000 Arbeitnehmern durch das LkSG verpflichtet werden.

Experten vermuten, dass Unternehmen, die Nicht-Verpflichtete nach dem LkSG sind, zumindest mittelbar betroffen sein werden. Mit ihnen zusammenarbeitende Unternehmen könnten sie vertraglich verpflichten, so dass auch sie sich an die Sorgfaltspflichten des Lieferkettengesetzes halten müssen. Darüber hinaus sind zuliefernde Unternehmen mittelbar vom LkSG betroffen.

Was passiert, wenn ich mich nicht oder zu spät an die neuen gesetzlichen Anforderungen halte?

Bei einem Verstoß gegen das LkSG können Bußgelder bis zu 800.000 Euro bei vorsätzlichen und fahrlässigen Verstößen drohen. Bei Unternehmen mit einem Umsatz von mehr als 400 Mio. Euro kann das Bußgeld auf bis zu zwei Prozent des globalen Umsatzes erhöht werden. Nach § 22 LkSG können Unternehmen sogar für einen Zeitraum von bis zu drei Jahren von der Vergabe öffentlicher Aufträge ausgeschlossen werden, wenn ein Bußgeld von 175.000 Euro oder mehr verhängt wird. Ein mit einem Verstoß einhergehender Imageschaden könnte mittelbar zu weiteren finanziellen Schäden führen.

Allerdings ist gemäß § 3 III LkSG eine zivilrechtliche Haftung des Unternehmens wegen Verletzungen von Sorgfaltspflichten bezüglich der Wahrung von Menschenrechten sowie dem Schutz der Umwelt ausgeschlossen. Folglich gibt es auch keine persönliche Haftung der Geschäftsleiter wegen Verstößen gegen das LkSG.

Welche Pflichten habe ich als Unternehmen?

Die aus dem LkSG resultierenden Sorgfaltspflichten lassen sich folgendermaßen unterteilen:

  • eigenes Handeln im eigenen Geschäftsbereich nach § 2 V Nr. 1, VI LkSG
  • Handeln eines Vertragspartners,
  • das Handeln eines unmittelbaren Zulieferers gemäß § 2 V Nr. 2, VII LkSG und
  • das Handeln eines mittelbaren Zulieferers nach § 2 V Nr. 3, VIII LkSG.

Damit endet die Verantwortung nicht mehr wie bisher ausschließlich im eigenen Unternehmen, sondern diese besteht – wie der Name des Gesetzes schon erkennen lässt – darüber hinaus: entlang der Lieferkette.

Das Lieferkettengesetz enthält einen abschließenden Katalog von elf international anerkannten Menschenrechtsübereinkommen. Aus den dort geschützten Rechtsgütern werden Verhaltensvorgaben bzw. Verbote für unternehmerisches Handeln abgeleitet, um eine Verletzung geschützter Rechtspositionen zu verhindern. Dazu zählen insbesondere die Verbote von Kinderarbeit, Sklaverei und Zwangsarbeit, die Missachtung des Arbeits- und Gesundheitsschutzes, die Vorenthaltung eines angemessenen Lohns, die Missachtung des Rechts, Gewerkschaften bzw. Mitarbeitervertretungen zu bilden, die Verwehrung des Zugangs zu Nahrung und Wasser sowie der widerrechtliche Entzug von Land und Lebensgrundlagen.

Das Gesetz spricht in § 3 LkSG lediglich von Bemühenspflichten der Unternehmen. Es besteht also weder eine Erfolgspflicht noch eine Garantiehaftung. Sämtliche Sorgfaltspflichten stehen zudem unter einem Angemessenheitsvorbehalt, der Unternehmen einen Ermessens- und Handlungsspielraum einräumt. Eine Abstufung der Pflicht ergibt sich aus den bestehenden Einflussmöglichkeiten des Unternehmens. Daraus resultiert, dass gemäß § 3 III LkSG Unternehmen für eine Verletzung der ihnen auferlegten Sorgfaltspflichten zivilrechtlich nicht zur Verantwortung gezogen werden können. Somit gibt es auch keine persönliche Organhaftung der Geschäftsleiter.

Auch wenn Unternehmen Menschenrechte und Umweltbelange beachten müssen, kann von ihnen nichts Unmögliches abverlangt werden. Die Sorgfaltspflichten können auch dann erfüllt werden, wenn nicht die gesamte Lieferkette nachverfolgt oder Präventions- oder Abhilfemaßnahmen nicht vorgenommen werden konnten, falls dies tatsächlich oder rechtlich unmöglich war.

Auch wenn das LkSG insbesondere von Unternehmerverbänden kritisiert wurde, weil dies nach ihrer Ansicht beispielsweise die Wettbewerbsfähigkeit schädigen würde, so ist das Thema Nachhaltigkeit in der Rechtslandschaft nicht ganz neu. Seit 2017 besteht im Rahmen des CSR RUG (CSR-Richtlinie-Umsetzungsgesetz) die Verpflichtung zur Offenlegung von bestimmten Nachhaltigkeitsaspekten wie Umwelt- und Sozialbelange, Arbeitnehmerbelange, Achtung der Menschenrechte und Bekämpfung von Korruption.

Welche Compliance-Maßnahmen muss ich ergreifen?

Aufgrund des LkSG sind Unternehmen und Geschäftsleiter verpflichtet, ein Compliance-System zur Beachtung von menschenrechts- und umweltbezogenen Sorgfaltspflichten einzurichten:

  • Einrichtung eines entsprechenden Risikomanagementsystems
  • Einrichtung einer internen verantwortlichen Person oder eines Beauftragten
  • Herausgabe einer entsprechenden Grundsatzerklärung
  • Implementierung eines (direkten/indirekten ereignisbasierten) Lieferanten-Due-Diligence-Prozesses
  • Durchführung von regelmäßigen/kontinuierlichen Risikoanalysen
  • die Ausrichtung auf risikobasierte und korrigierende Maßnahmen
  • die Festlegung von Präventivmaßnahmen innerhalb der eigenen Geschäftseinheit(en) und der direkten Lieferanten
  • die Einrichtung eines Beschwerdeverfahrens ("Whistleblowing-System")
  • Dokumentation und Berichterstattung

Das Gesetz schreibt in § 4 I LkSG vor, dass ein Risikomanagement eingerichtet werden muss, um Risiken sowie Verletzungen von Menschen- und Umweltrechten entlang ihrer Lieferketten zu identifizieren, verhindern, beenden oder zumindest zu minimieren. Aus dem Gesetz geht hervor, welche Präventionsmaßnahmen, Verpflichtungen zu Beschwerdeverfahren und Berichterstattungen hierfür erforderlich sind. Daneben müssen klare Zuständigkeiten innerhalb des Unternehmens zur Überwachung des Risikomanagementsystems eingerichtet werden. Es muss im Unternehmen eine verantwortliche Person für das Risikomanagement bestimmt werden. Hierfür muss gemäß § 5 LkSG eine entsprechende Risikoanalyse zur Ermittlung menschenrechts- und umweltbezogener Risiken durchgeführt werden.

Im eigenen Geschäftsbereich und bei unmittelbaren Zulieferern hat das Unternehmen mindestens einmal im Jahr sowie anlassbezogen bei wesentlich veränderter oder erweiterter Risikolage zu überprüfen, ob eine Verletzung von Menschenrechts- oder Umweltbelangen vorliegt. Bei mittelbaren Zulieferern besteht die Pflicht zur Risikoanalyse nur, wenn das Unternehmen substanziierte Kenntnis von möglichen Verletzungen hat.

Wenn Unternehmen ein Risiko feststellen, müssen nach § 6 I und V LkSG unverzüglich angemessene Präventionsmaßnahmen ergriffen und diese jährlich sowie anlassbezogen überprüft werden. Stellt das Unternehmen sodann Verletzungen fest, hat es Abhilfemaßnahmen vorzunehmen. Ultima Ratio kann auch der Abbruch der Geschäftsbeziehung zu dem Zulieferer sein.[ii]

§ 8 LkSG verpflichtet Unternehmen dazu, ein angemessenes internes Beschwerdeverfahren einzurichten. Damit soll ermöglicht werden, dass Personen auf mögliche menschenrechts- oder umweltbezogene Risiken sowie Verletzungen im eigenen Geschäftsbereich des Unternehmens oder bei einem unmittelbaren Zulieferer hinweisen können.

Die Einhaltung der Sorgfaltspflichten soll gemäß § 10 I LkSG entsprechend dokumentiert und sieben Jahre aufbewahrt werden. Zudem besteht nach § 10 II bis IV LkSG die Pflicht, jährlich einen Bericht über die Erfüllung der Sorgfaltspflichten im vergangenen Geschäftsjahr zu erstellen und auf der Unternehmens-Webseite spätestens vier Monate nach Ende des Geschäftsjahres zu veröffentlichen. Die Leitungsebenen sollen des Weiteren eine Grundsatzerklärung für die Menschenrechtsstrategie des Unternehmens abgeben.

Environmental, Social, Governance (ESG)

In der Diskussion, wie sich Unternehmen LkSG-konform aufstellen, nimmt die Prüfung der ESG-Aspekte eine zentrale Rolle ein. Vor dem Hintergrund einer nachhaltigen Lieferkette müssen die Themen Umwelt, Soziales (beinhaltet Aspekte wie Sicherheit, Gesundheit von Mitarbeitern, Arbeitsrechte etc.) sowie Unternehmensführung (beinhaltet Themen wie Korruption, etc.) mitberücksichtigt werden. Ein Rating von Geschäftspartnern für das gesamte Spektrum der ESG-Bereiche sollte in die Risikoanalyse mit einfließen, um den Ansprüchen an die gesetzlichen Sorgfaltspflichten gerecht zu werden.

Weitere Regularien neben dem LkSG

Neben dem deutschen LkSG gibt es noch weitere Regularien, die es im internationalen Kontext gilt zu berücksichtigen:

EU-Lieferkettengesetz: Seit Februar 2020 gibt es einen Entwurf für ein EU-Lieferkettengesetz. Dieser geht deutlich weiter als das deutsche LkSG. Der Gesetzesentwurf richtet sich an EU-Firmen und in der EU tätige Firmen ab 500 Mitarbeitern und einem Umsatz von mehr als 150 Millionen Euro. Gemäß dem Richtlinien-Entwurf liegt die Schwelle bereits bei 250 Mitarbeitern und 40 Millionen Euro Umsatz in Branchen, von denen eine Gefährdung von Menschen und Umwelt ausgeht.

Die neue EU-Verordnung enthält eine zivilrechtliche Haftung für Unternehmen. Betroffene können vor europäischen Gerichten auf Schadenersatz klagen. Allerdings können Unternehmen von der Haftung befreit werden, wenn sie ein Compliance-Management-System eingerichtet haben, das sie verteidigt.

Auch wenn es sich momentan nur um einen Entwurf handelt, ist es sinnvoll, sich im Rahmen der Umsetzung des deutschen LkSG ebenfalls an den EU-Regelungen zu orientieren, um später keine weiteren aufwändigen Nachbesserungen vornehmen zu müssen.

Bestechungs- und Korruptionsprävention: Innerhalb der Lieferketten-Compliance sollten auch Aspekte der Bestechungs- und Korruptionsprävention, die im ESG-Check unter Governance fallen, mitberücksichtigt werden. Vor dem Hintergrund, dass eine Vielzahl von Unternehmen global agieren, müssen unter Umständen zusätzlich noch ausländische Gesetze mit extraterritorialer Geltung berücksichtigt werden.

US Foreign Corrupt Practice Act (FCPA): Ursprünglich galt der FCPA nur in den Vereinigten Staaten. Er gilt als die Mutter aller Antikorruptionsgesetze. Im Jahre 1998 wurde der FCPA dahingehend erweitert, dass auch ausländische Unternehmen und Personen unter den FCPA fallen können. Eine faktische Wirkung wurde erst seit 2004 durch eine vermehrte Umsetzung verzeichnet. Diese Entwicklung hat weltweit zu einer enormen Sensibilität gegenüber Compliance-Fragen geführt und Maßstäbe für die Einrichtung von Compliance-Management-Systemen gesetzt.

Er besteht aus zwei Teilen:

(1.) Antibestechungsregeln: Diese untersagen, mit korruptem Vorsatz nicht-amerikanischen Amtsträgern Leistungen zu gewähren oder zu versprechen, um einen geschäftlichen Vorteil zu erzielen.

(2.) Rechnungslegungs- und interne Kontrollvorschriften: Diese verlangen eine korrekte Buchführung und Datenverwahrung sowie interne Kontrollsysteme, um den ordnungsgemäßen Gebrauch von Firmengeldern zu gewährleisten.

Der FCPA hat darüber hinaus auch andere Länder wie beispielsweise Kanada und Großbritannien dazu ermuntert, ähnliche Gesetze mit extraterritorialer Geltung zu erlassen.

UK Bribery Act (UKBA): Das Gesetz gilt für alle Firmen, die geschäftlich in Großbritannien und Nordirland tätig sind. Die Korruptionshandlung muss nicht dort stattfinden. Auch die durch die Bestechung gewollte Handlung muss nicht im Vereinigten Königreich erfolgen. Das hat zur Folge, dass jedes Geschäft mit Auslandsberührung zum Vereinigten Königreich unter das Gesetz fallen kann.

Deutsche Unternehmen können für korruptes Verhalten auf der ganzen Welt zur Rechenschaft gezogen werden, auch wenn die Korruptionshandlung nicht im Zusammenhang mit einer Tätigkeit in UK steht. Es reicht aus, dass betroffene Unternehmen Geschäftstätigkeiten im Vereinigten Königreich ausüben. Dass Aktien des Unternehmens am London Stock Exchange gehandelt werden oder Tochtergesellschaften in UK gemeldet sind, ist allein jedoch nicht ausreichend.

United Nations Global Compact (UNGC): Der Global Compact der Vereinten Nationen hat zehn Prinzipien[iii] aus den Bereichen Menschenrechte, Arbeitsnormen, Umweltschutz und Korruptionsbekämpfung entwickelt, die sich nicht nur im eigenen Unternehmen, sondern auf die gesamte Wertschöpfungskette anwenden lassen. Der UN Global Compact und das UN Global Compact Netzwerk Deutschland (UN GCD) rufen Unternehmen dazu auf, ihre Strategien an diesen zehn Prinzipien auszurichten Auch wenn es sich um eine unverbindliche Empfehlung handelt, ist der UNGC die weltweit größte Initiative für unternehmerische Nachhaltigkeit (auch bekannt als Corporate Social Responsibility) mit 13.000 Unternehmensteilnehmern und anderen Interessengruppen in über 170 Ländern. Der Leitfaden „Nachhaltigkeit in der Lieferkette[iv]“ kann von Unternehmen unterstützend zu Rate gezogen werden, um ein nachhaltiges Lieferkettenmanagement aufzubauen und weiterzuentwickeln. Allerdings beleuchtet der UNGC das Verhältnis zu vorgelagerten Zulieferern und konzentriert sich nicht auf Beziehungen zu Händlern, Endkunden oder die Produktentsorgung. Mit in der Wertschöpfungskette nachgelagerten Akteuren wird sich das Global Compact Office der Vereinten Nationen in Zukunft näher befassen.[v]

United Nations Office on Drugs and Crime (UNODC): Das Büro für Drogen- und Verbrechensbekämpfung der Vereinten Nationen bietet ein webbasiertes Antikorruptionsportal namens TRACK[vi] (Tools and Resources for Anti-Corruption Knowledge) an. „Die United Nations Convention against Corruption (UNCAC) Legal Library ist eine umfassende Datenbank mit Rechtsvorschriften zur Korruptionsbekämpfung und Vermögensabschöpfung sowie mit Rechtsprechung aus über 175 Staaten, systematisiert gemäß den Anforderungen des Übereinkommens. Die Rechtsbibliothek, die regelmäßig aktualisiert wird, zeigt Gesetze auf, die erfolgreich zur Wiedererlangung von Vermögenswerten eingesetzt wurden, aber auch die Hindernisse durch unzureichende oder unvereinbare Rahmenwerke. Diese praktische und benutzerfreundliche Ressource wird Länder bei der Gestaltung und Verbesserung ihrer Rechtsrahmen helfen, so dass sie der Wiedererlangung gestohlener Vermögenswerte förderlich sind.“[vii]

Die Datenbank bietet eine einzigartige Übersicht über die UNCAC-Artikel und die entsprechenden Bestimmungen des nationalen Rechts. Die Suche kann auf ein bestimmtes Land, ein UNCAC-Kapitel und einen UNCAC-Artikel beschränkt werden. Wenn man auf einen Ländernamen klickt, öffnet sich eine Seite mit Links zu detaillierten Informationen über die innerstaatlichen Behörden zur Korruptionsbekämpfung und dem vollständigen Wortlaut der UNCAC-bezogenen Gesetze. Auch hier können sich Unternehmen gezielte Hilfestellungen und relevante Informationen für ihre Compliance heraussuchen.

Wer überprüft die Einhaltung des LkSG?

Das Bundesamt für Wirtschaft und Ausfuhrkontrolle überprüft die Einhaltung des Gesetzes. Es kontrolliert die Unternehmensberichte und geht eingereichten Beschwerden nach.

Für die Überwachung des Lieferkettenmanagements der Unternehmen wird eine Behörde mit effektiven Durchsetzungsinstrumenten ausgestattet. Die zuständige Behörde, das Bundesamt für Wirtschaft und Ausfuhrkontrolle, hat weitgehende Kontrollbefugnisse. Sie kann etwa Geschäftsräume betreten, Auskünfte verlangen und Unterlagen einsehen sowie Unternehmen auffordern, konkrete Handlungen zur Erfüllung ihrer Pflichten vorzunehmen und dies durch die Verhängung von Zwangsgeldern durchsetzen.

Fazit

Mit dem Inkrafttreten des Lieferkettensorgfaltspflichtengesetzes gehen zahlreiche rechtliche Verpflichtungen für Unternehmen einher. Nicht außer Acht zu lassen sind die rechtlichen Vorschriften aus anderen Ländern, die aufgrund ihrer exterritorialen Wirkung ebenfalls berücksichtigt werden müssen. Daneben empfiehlt sich ein ESG-Check.

Die nach dem LkSG verpflichteten Unternehmen müssen einen klaren, verhältnismäßigen und zumutbaren gesetzlichen Rahmen zur Einhaltung der Sorgfaltspflichten erfüllen. Die Anforderungen orientieren sich am Due-Diligence-Standard.

Zur Einhaltung dieser rechtlichen Verpflichtungen bedarf es neben eines wirksamen Risikomanagements auch weitergehender Pflichten und der Implementierung von verschiedenen Mechanismen, die einer gewissen Vorlaufzeit bedürfen. Diese lassen sich nicht pauschal benennen, sondern müssen individuell für die jeweiligen Unternehmen klar identifiziert werden.

In unserem bereitgestellten Download können Sie selbst eine erste Einschätzung über Art und Umfang der rechtlichen Verpflichtungen vornehmen, von denen ihr Unternehmen aufgrund des LkSG betroffen sein kann. Aus der nachfolgenden Übersicht entnehmen Sie, welche Schritte zur Einhaltung des Lieferkettengesetzes zu erfüllen sind. Für weitergehende Fragen stehen wir Ihnen selbstverständlich zur Verfügung.

 LkSG Schritte zur Einhaltung

 

[i] Die Lebens- und Arbeitsbedingungen der Textilarbeiter in Indonesien. Welche Organisationen setzen sich für bessere Umstände ein?

[ii] Lieferkettensorgfaltspflichtengesetz; NJW-Spezial 2021, 399

[iii] The Ten Principles of the UN Global Compact 

[iv] UN Global Compact Office: NACHHALTIGKEIT IN DER LIEFERKETTE - Ein praktischer Leitfaden zur kontinuierlichen Verbesserung 

[v] UN Global Compact Office: NACHHALTIGKEIT IN DER LIEFERKETTE - Ein praktischer Leitfaden zur kontinuierlichen Verbesserung 

[vi] TRACK — UNODC's central platform of tools and resources for anti-corruption knowledge 

[vii] UNCAC Legal Library Launched: New Database of Anti-Corruption Legislation from 178 States  

29.

Aug

Am 25. August 2022 hat die Financial Action Task Force (FATF) den Abschlussbericht („Mutual Evaluation Report (MER)“) über die Prüfung Deutschlands veröffentlicht. Im Ergebnis ist festzuhalten, dass Deutschland in den letzten fünf Jahren beachtliche Reformen durchgeführt hat, um Geldwäscheaktivitäten bzw. Terrorismusfinanzierung besser zu erkennen und zu bekämpfen. Diese Reformen tragen Früchte. Es bedarf aber weiterer Anstrengungen, um die Effektivität der Präventionsmaßnahmen zu optimieren.

Mangelhafte innerstaatliche Behördenkoordination und Nutzung von Financial Intelligence

Die Probleme sind nicht neu, sondern lange bekannt und werden seit vielen Jahren behördenübergreifend diskutiert. Dazu zählt auch die innerstaatliche Koordination zwischen den Strafverfolgungsbehörden der einzelnen Bundesländer. Während die jeweiligen Landeskriminalämter in der Vergangenheit aufgrund fehlender Informationsflüsse teilweise unabgestimmt parallel ermittelt haben, hat sich durch die Schaffung der zentralen Meldestelle die Effektivität in den letzten Jahren bereits verbessert. Die FATF hat im Rahmen ihrer Prüfungen hier aber Optimierungspotenzial wahrgenommen. Sie erwartet eine proaktive Risikoprävention und eine verbesserte Verfügbarkeit und Nutzung von Finanzinformationen durch die FIU. Dazu gehören beispielsweise der Zugang zu Massendaten und Analyseinstrumenten, um die Wirksamkeit und Effizienz der FIU-Analysen zu erhöhen und eine intensivere Koordination und Zusammenarbeit zwischen FIU und Strafverfolgungsbehörden zu ermöglichen. Diese Hinweise gilt es zu analysieren, nicht am grünen Tisch, sondern in Zusammenarbeit mit Fachleuten und Praktikern. Danach sollte die Umsetzung kurzfristig realisiert werden, idealerweise unter Einbindung der nun geplanten neuen Bundesbehörde für Geldwäschebekämpfung.

Bargeldintensität Deutschlands als Risiko

Generell hat die FATF die Bargeldintensität und die nicht lizensierten Geldtransferdienstleister als besonderes Risiko adressiert. Dass Deutschland als bargeldintensives Land gilt und die organisierte Kriminalität dieses in der Vergangenheit zum Platzieren von inkriminierten Geldern genutzt hat, ist keine neue Erkenntnis. Die wirtschaftliche Entwicklung, insbesondere die europäische Zinspolitik, hat in den letzten Jahren zu einer Flucht in Sachwerte geführt. Beispielhaft sei der Immobiliensektor genannt. Einer der Hauptkritikpunkte der FATF ist, dass Immobiliengeschäfte in Deutschland nach wie vor bar abgewickelt werden können. Für die Kreditwirtschaft hat dies zur Folge, dass ein noch stärkerer Fokus auf Bartransaktionen gelegt werden muss als in der Vergangenheit. Durch den Kostendruck und die sinkenden Margen sind die Institute allerdings dazu übergegangen, ihre Services im Zusammenhang mit Bartransaktionen vermehrt über Automaten abzuwickeln. Sicherlich hat die Regelung des Herkunftsnachweises für Bareinzahlungen über 10.000 Euro zu einer Sensibilität bei den Verpflichteten geführt. Allerdings hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihrem Journal von August 2021 kommuniziert, dass die Institute die Besonderheiten der jeweiligen Geschäftsbeziehung berücksichtigen können, um so zu einer risikoorientierten sowie praxisgerechten Verfahrensweise zu gelangen. Dieses lässt naturgemäß jede Menge Gestaltungs- und Interpretationsspielraum für die Kreditwirtschaft offen. Es lässt den Verpflichteten den Spielraum offen, von welchem Kunden und in welcher Form der Herkunftsnachweis erbracht werden muss. Dass solche Problemfelder auch anders adressiert werden können, haben Länder wie beispielsweise Spanien mit einer Obergrenze von 2.500 Euro bzw. Italien mit einem Höchstbetrag von 1.000 Euro schon umgesetzt. Bareinzahlungen oberhalb dieses Betrages werden grundsätzlich abgelehnt.

Problemfeld „Money Value Transfer Services“

Ein besonderes Problemfeld stellen die informellen „Money Value Transfer Services“ (siehe auch MVTS im #AML Glossar) dar. Während die registrierten und etablierten MVTS-Anbieter auf die Einhaltung der gesetzlichen Vorschriften achten und durch die "Financial Intelligence Unit (FIU)“ für auffällige Sachverhalte bzw. Indikatoren sensibilisiert werden, stehen die informellen MVTS im Fokus der FATF. Fälle wie die Großrazzia des Landeskriminalamts Nordrhein-Westfalen (LKA NRW) am 12. November 2019, bei der im Großraum Duisburg in einem Juwelierladen große Mengen Bargeld und Goldbarren sichergestellt wurden, sind scheinbar nur die Spitze des Eisbergs. Insgesamt wurden mehr als 200 Millionen Euro ohne jegliche Namens- und Sanktionsprüfung in das Ausland geschleust. Damit adressiert die FATF eines der Hauptprobleme Deutschlands, die Prävention und Kontrolle der sogenannten „Designated Non-Financial Businesses and Professions“ (siehe auch DNFBPs im #AML Glossar) (Empfehlungen 18 und 23 der FATF). Das Ergebnis der Prüfung dieses Kreises der Verpflichteten war einer der Hauptkritikpunkte. Es wurde Deutschland bescheinigt, dass erhebliche Anstrengungen zeitnah notwendig sind, um den Anforderungen der FATF gerecht zu werden.

Deutschland befindet sich mit dieser Feststellung in „bester“ Gesellschaft, denn Ländern wie Großbritannien, Schweiz oder den Vereinigten Staaten von Amerika wurde der gleiche Defizitlevel bescheinigt. Selbst die am Tage der Veröffentlichung des deutschen Reports noch hochgelobten Niederlande stehen vor der gleichen Herausforderung. Hier dürfte ein erster sinnvoller Schritt die Zentralisierung der über 300 Aufsichtsbehörden in Deutschland für diesen Bereich sein. Damit einhergehend sollten einheitliche Standards und sachgerechte, risikoorientierte Prüfungen − ähnlich denen, die aus der Bankenlandschaft bekannt sind − etabliert werden. Hier wäre auch eine Abstimmung mit den zuvor genannten Ländern sinnvoll, um Synergieeffekte zu erzielen und Ziele und Maßnahmen gemeinsam, idealerweise in Abstimmung mit der FATF, zu definieren.

Vermögensabschöpfung effektiv umsetzen

Adressiert wurde ebenfalls die Thematik der Vermögensabschöpfung. Ziel ist es, die illegal erworbenen Vermögenswerte den Tätern zu entziehen. Hier werden Deutschland massive Fortschritte bescheinigt. Bis Deutschland in diesem Bereich aber an die Effektivität anderer Länder heranreicht, ist noch ein langer Weg zu gehen. Während in Deutschland nach wie vor die Beweislast beim Staat liegt, haben andere Länder längst vorgemacht, wie eine Vermögensabschöpfung effektiv umgesetzt werden kann. Auch wenn es in Deutschland erste Ansätze gibt, das System der Beweislastumkehr abzuschaffen, wird abzuwarten sein, inwieweit solche Fälle durch die Gerichte positiv beschieden werden.

In Italien muss ein Beschuldigter nachweisen, dass er nicht in illegale Geschäfte verwickelt ist. Dort kann eine Villa eingezogen werden, sofern der Besitzer nicht nachweisen kann, dass sie mit legalen Geldern gekauft wurde. Ähnliches gilt für Großbritannien. Britische Gerichte können Verdächtige dazu zwingen, die Herkunft der Vermögenswerte offenzulegen. Sie haben die Möglichkeit, Vermögenswerte so lange einzuziehen, bis der wirtschaftlich Berechtigte erklärt, woher die Gelder stammen.

Probleme der FIU

Erhebliche Kritik gibt es an der Effektivität der FIU, der beim Zoll angesiedelten Anti-Geldwäsche-Einheit. Diese kommt ebenfalls nicht überraschend, da die Medien in den vergangenen Jahren bereits mehrfach und nachdrücklich darauf hingewiesen haben, dass es offensichtlich Probleme bei der Bearbeitung bzw. Nachverfolgung von Fällen gibt. Sachverhalte wie die liegengebliebenen Verdachtsmeldungen im Wirecard-Skandal, die Durchsuchung der Räumlichkeiten der FIU aufgrund von Ermittlungen der Staatsanwaltschaft Osnabrück sowie die Vielzahl der allgemein unbearbeiteten Fälle bei der FIU in der Vergangenheit wurden nicht explizit thematisiert. Sie führen allerdings zu einer negativen Wahrnehmung bei der Bevölkerung, den Verpflichteten und letzten Endes auch bei der FATF. Der FIU zugutehalten muss man bei aller Schelte aber auch ihre Abhängigkeit von den Informationen, die ihr durch die Meldenden zur Verfügung gestellt werden, und deren Qualität. Sofern die FIU Verdachtsmeldungen erreichen, die unvollständig sind bzw. nicht korrekte Daten enthalten, sind den Möglichkeiten der FIU – auch bezogen auf die internationale Zusammenarbeit - Grenzen gesetzt. Welche Auswirkungen mangelhafte Datenqualität auf die Compliance haben kann, kann im #rethinkcompliance Blog nochmal nachgelesen werden.

Herausforderungen

Dass Deutschland gewillt ist, die Anforderungen der FATF zu erfüllen, zeigt der durch Finanzminister Christian Lindner angekündigte Paradigmenwechsel in der Bekämpfung der Geldwäsche, u.a. durch die Schaffung einer neuen Bundesbehörde. Diese allein wird jedoch die bestehenden Probleme nicht lösen. Es erfordert enorme Anstrengungen und eine Zusammenarbeit mit den unterschiedlichen Behörden und Bereichen, um die Arbeit effektiv zu gestalten. Dieses gilt nicht nur für den Finanzsektor, sondern auch in ganz besonderem Maße für den Nichtfinanzsektor und die oben bereits genannten DNFBPs.

Deutschland muss innerhalb eines Jahres die FATF über die ergriffenen Maßnahmen und Fortschritte unterrichten. Daher bleibt keine Zeit, den Dingen zu harren, die da kommen. Auf die BaFin, die weiteren Verpflichteten sowie den Finanzsektor kommen große Herausforderungen zu, um den Erwartungen der FATF auch nur ansatzweise gerecht zu werden.

23.

Aug

Der Anfang vom Ende?

Das grundlegende Konzept der "ausländischen Kämpfer" ist keine moderne Erfindung. In der Vergangenheit haben Kämpfer aus dem Ausland an mehreren Bürgerkriegen teilgenommen. Ein klassisches Beispiel sind die Internationalen Brigaden, eine militante Gruppe, die sich aus freiwilligen ausländischen Kämpfern aus 50 verschiedenen Ländern zusammensetzte und am Spanischen Bürgerkrieg teilnahm. In der heutigen Zeit hat die Definition „ausländische terroristische Kämpfer“ jedoch an Bedeutung gewonnen, nachdem sie in der Resolution 2170 (2014) des Sicherheitsrats nach der Irak-Krise angenommen und in der Resolution 2396 (2017) des UN-Sicherheitsrats bekräftigt wurde. In einem kürzlich veröffentlichten gemeinsamen Bericht der Asia/Pacific Group on Money Laundering (APG) und des Global Center on Cooperative Security wurde versucht, die Nuancen der Verhaltens- und Finanzprofile solcher Kämpfer in Südostasien zu erforschen. Hierfür sind von den Financial Intelligence Units (FIUs) in dieser Region Finanzinformationen gesammelt und genutzt worden, um die katalytische Wirkung von ausländischen Kämpfern auf terroristische Aktivitäten zu analysieren und zu bekämpfen. 

Der Tod von Abu Bakr al-Baghdadi, dem Anführer von ISIS im Jahr 2019, führte zur sofortigen Ernennung von Abu Ibrahim al-Hashimi al-Qurashi als nachfolgendem Anführer des Islamischen Staats.[1] Er war Politiker und ehemaliger Angehöriger der irakischen Armee, der Saddam Hussein gedient hatte, und wurde Anfang des Jahres bei einem US-Angriff in Nordsyrien getötet.[2] Er stand zudem auf der OFAC-Liste der "Specially Designated Global Terrorists", was uns zu der Frage bringt: Ist dies der Anfang vom Ende des gewalttätigen Terrorismus, der von einer der mächtigsten extremistischen Organisationen der modernen Geschichte verübt wird? Vielleicht nicht. Angesichts der abnehmenden Bedeutung und des schwindenden Einflusses des IS in den letzten Jahren beginnen sich mehrere Pro-ISIS-Ableger neu zu gruppieren, in der Hoffnung, den IS mit allen verfügbaren Mitteln wiederzubeleben, einschließlich Rekrutierung ausländischer Kämpfer und Aufnahme und Einsatz der Rückkehrer in ihren jeweiligen Heimatländern. Zu diesen Ableger-Organisationen gehören mehrere militante Gruppen in Südostasien wie Tawhid-wal Jihad, Katibah Nusantara (eine Gruppe, die für die Terroranschläge von 2016 in Jakarta verantwortlich ist), die Maute-Gruppe, FAKSI (eine Gruppe aus Java, Indonesien, die sich zum ISIS bekennt) und viele andere. Es gibt bereits eine wachsende Besorgnis darüber, dass ausländische Kämpfer über soziale Medien von mehreren ISIS-Mitgliedsorganisationen, Sympathisanten und Rückkehrern aus dem asiatisch-pazifischen Raum rekrutiert werden.[3]

Dieser Artikel bewertet die von ausländischen terroristischen Kämpfern ausgehenden Bedrohungen sowie die derzeit eingesetzten Systeme zur Identifizierung ihrer taktischen Methoden und "Ausweichmanöver".[4] Darüber hinaus wird versucht, die Bewegungen, Finanzprofile und Transaktionsmuster sowie die potenziellen „Red Flags“ zu verstehen, die zu Aufdeckung und Strafverfolgung führen. Und schließlich soll der Artikel Compliance- und Geldwäschebeauftragten sowie Finanzanalysten im Bereich der Terrorismusbekämpfung auch als zusätzliche Wissensquelle zur Profilerstellung dienen.

Wer sind die ausländischen terroristischen Kämpfer?

Um wirksam und effizient auf unmittelbare, wieder aufkommende terroristische Bedrohungen reagieren zu können, müssen nicht nur die Mechanismen der Transaktions- und Verhaltensmuster, die geografischen Ausgangs-, Transit- und Zielorte der ausländischen terroristischen Kämpfer sowie die Rückkehrer identifiziert werden. Es muss auch die Definition, wie sie in den Resolutionen 1373 (2001), 2462 (2019) und 2178 (2014) des UN-Sicherheitsrats beschrieben ist, verstanden werden.

Gemäß der Resolution 2178 des UN-Sicherheitsrates:

“foreign terrorist fighters (FTFs) are those individuals who travel or attempt to travel to a State other than their States of residence or nationality, and other individuals who travel or attempt to travel from their territories to a State other than their States of residence or nationality, for the purpose of the perpetration, planning, or preparation of, or participation in, terrorist acts, or the providing or receiving of terrorist training , including in connection with armed conflict.”[5]

Für die Planung, Vorbereitung und den Einsatz dieser Kämpfer werden Mittel benötigt. Deshalb ist es wichtig, die geografische Ausdehnung und die Bewegungsphasen zu verstehen. Dazu gehören der Ausgangspunkt, die Transitrouten und die verschiedenen Finanzierungsmittel, mit denen die Kämpfer in die Lage versetzt werden, ihre terroristischen Aktivitäten an den vorgesehenen Orten durchzuführen. Die folgende Abbildung zeigt die gängigsten Methoden für Geldbewegungen im Zusammenhang mit Terrorkämpfern.

FTF Gelder

Erhebungen von APG-Mitgliedern, Strafverfolgungsbehörden und Nachrichtendiensten haben ergeben, dass die ausländischen Kämpfer und ihre Rekrutierungsagenten in großem Umfang auf Anbieter von Geldtransferdiensten (mit/ohne Lizenz), Banküberweisungen und Barabhebungen im In- und Ausland zurückgreifen.

Wiederkehr der Kämpfer & Treiber für Aktivitäten

Einer der Gründe, warum ISIL-Ableger Südostasien für die Rekrutierung ins Visier nehmen, ist der Einfluss der ISIS-Extremisten auf neue Kämpfer, welche die Gruppe als den wahren Träger der Dschihad-Prinzipien betrachten, die sie seit langem hochhalten. Ein weiterer Faktor für die Wiederkehr von ausländischen Kämpfern im Südosten außerhalb von Daesh/ISIS ist der positive Einfluss verzerrter Schilderungen ehemaliger Mitglieder auf neue Kämpfer. Deren Motivationen beruhen auf einer komplexen Mischung aus sozialen, wirtschaftlichen, kulturellen, ideologischen und persönlichen Gründen. Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit und fasst die wichtigsten Motivationsfaktoren für ausländische terroristische Kämpfer zusammen.[6]

  • Religiöse Narrative innerhalb eschatologisch orientierter und fehlgeleiteter Menschen, die unter der Herrschaft des so genannten Kalifats leben wollen
  • Ideologische Überzeugung
  • Der Wunsch, die schlechten politischen und humanitären Bedingungen zu verbessern, die auf die Gräueltaten des syrischen Bürgerkriegs und der unterdrückerischen Diktatur in Syrien zurückzuführen sind (typischerweise ein Konfliktgebiet im weiteren Sinne)
  • Gefühl der Zugehörigkeit, Abenteuer, Respekt, Chancen auf wirtschaftlichen Aufstieg, Beschäftigung, Heirat und andere materielle Vorteile

Insbesondere nach dem territorialen Zusammenbruch des Islamischen Staates im Irak und in der Levante konzentriert sich die Rekrutierung von Kämpfern auf Einzelpersonen und ihre Familien, die in Lagern festgehalten werden, in ihre Herkunftsländer zurückkehren oder in ein Drittland reisen, sowie auf Kinder ausländischer Kämpfer. Mehrere Staaten haben ihnen jedoch die Staatsbürgerschaft entzogen, um ihre Rückkehr zu verhindern, wodurch sie staatenlos wurden.

Nutzung von Erkenntnissen aus dem Finanzbereich im Kampf gegen ausländische Terrorkämpfer

Neben einem allgemeineren Ansatz für die Identifizierung von „Red Flag“-Indikatoren, die auf terroristische Aktivitäten hinweisen, könnten detailliertere Informationen den Akteuren des Privatsektors bei der Aufdeckung und Unterbindung von verdächtigen Transaktionen im Zusammenhang mit ausländischen Kämpfern oder Terrorismusfinanzierungsaktivitäten helfen.

Beispiel: Informationen über ein ganz bestimmtes geografisches Gebiet, das als Terroristen-Hotspot gilt, werden es Meldepflichtigen in Zukunft ermöglichen, sowohl ihr Risiko der Terrorismusfinanzierung besser zu steuern als auch mehr verwertbare und nützliche Finanzinformationen zu melden.

Die nachstehende Abbildung zeigt ein typisches Bewegungsmuster ausländischer Kämpfer, das in vier bis fünf Phasen unterteilt werden kann.

FTF Bewegungsmuster

Vor Abreise

  • Vorgeplante Einstellung der Kontobewegungen durch den Kämpfer
  • Kontoauszüge, aus denen hervorgeht, dass persönliche Gegenstände vor dem Reisedatum verkauft wurden
  • Kauf von Flugtickets in der Nähe von Konfliktgebieten
  • Kontobewegungen, die auf Gelder aus Sozialhilfe, Studiendarlehen oder anderen Kreditprodukten hinweisen
  • Spenden an gemeinnützige Organisationen, die mit Terrorismusfinanzierung in Verbindung gebracht werden
  • Verwendung von Geldern für andere reisebezogene Dinge

Auf dem Weg

  • Irrationale Strecke von Reiserouten in die Konfliktzone mit mehreren Reisemitteln
  • Hinweis auf eine Reise in ein Drittland über ein Konfliktgebiet, aber finanzielle Aktivitäten, die auf eine unvollständige Reise hindeuten
  • Finanzielle Aktivitäten entlang des Korridors zu einer Konfliktzone
  • Empfang von Überweisungen innerhalb oder entlang der Grenze eines Konfliktgebiets

Im Einsatzgebiet

  • Eingehende Geldüberweisungen von Freunden und Verwandten oder terroristischen Komplizen
  • Konto wird inaktiv
  • Medienberichterstattung über einzelne Reisende in Konfliktgebiete

Rückkehr

  • Ruhendes Konto wird plötzlich aktiv
  • Neue Einnahmequellen
  • Atypische inländische oder internationale Geldüberweisungen


Aktuelle Herausforderungen

Die Einstufung als ausländischer terroristischer Kämpfer hängt von der nationalen Gesetzgebung ab, die sich an der internationalen Standarddefinition orientiert, ob es sich bei den verdächtigen Personen um "FTFs" oder bei den Gruppen, denen sie sich anschließen, um "benannte terroristische Vereinigungen" handelt. Dies kann zu Unstimmigkeiten bei der Anwendung der FTF-Terminologie führen. Deshalb ist es zwingend erforderlich, eine weltweit akzeptierte Standarddefinition anzunehmen, die zwischen den Begriffen ausländische terroristische Kämpfer, allgemeine Terroristen und solchen, die mit einem bewaffneten Konflikt zusammenhängen, unterscheidet.

Darüber hinaus sind die derzeitigen Indikatoren für ausländische terroristische Kämpfer recht weit gefasst und stark auf den geografischen Standort der Transaktionen ausgerichtet, die mit Reisen in ein Konfliktgebiet oder eine Grenzregion verbunden sind, ohne dass festgestellt werden kann, ob es sich um rechtmäßige oder unrechtmäßige Transaktionen handelt. Das Fehlen derartiger Informationen sowie das allgemeine Profil bleiben eine praktische Herausforderung nicht nur für die Definition und Identifizierung solcher Kämpfer, sondern auch für die Analyse ihrer finanziellen, verhaltensmäßigen und geografischen Bewegungen.

Die Verwendung von Bargeldtransaktionen zwischen unbekannten, nicht miteinander verbundenen Personen und der grenzüberschreitende Charakter von Transaktionen in diesem Kontext stellen zusätzliche Herausforderungen dar. Da Zoll- und Grenzbeamte die erste Verteidigungslinie bei der Bekämpfung sind, könnte ihre Einbeziehung in den politischen Rahmen für eine wirksame Identifizierung und eine angemessene Reaktion auf Aktivitäten ausländischer terroristischer Kämpfer von Vorteil sein.

Eine weitere Herausforderung ist das Fehlen eines soliden Feedback-Kanals: In den Transaktionsbeziehungen zwischen den Strafverfolgungsbehörden und den Finanzinstituten fehlt es an Rückmeldungen über die Qualität und Nützlichkeit der Informationen. Dies bleibt für die Ermittlungsbehörden bei ihren gemeinsamen Bemühungen gegen ausländische Terroristen ein Engpass. Die inländische Kommunikation zwischen dem Finanz- und Privatsektor und den zentralen Meldestellen und den Strafverfolgungsbehörden ist eine Einbahnstraße.[7] Rückmeldungen auf breiter Basis sind wichtig, nicht nur in Bezug auf bestimmte Fälle. Dies ist von entscheidender Bedeutung, um die korrekte Kennzeichnung von Informationen zu validieren und die Berichterstattung zu verbessern. Dies wird den FIUs helfen, die Verfeinerung der Indikatoren, die Qualität und Zuverlässigkeit von Verdachtsmeldungen sowie strategische und umsetzbare Erkenntnisse zu verbessern.

Schlussfolgerung

Einige APG-Mitglieder arbeiten kontinuierlich an der Entwicklung von Rechtsrahmen und der Stärkung ihrer innerstaatlichen AML/CFT-Strategien und -Verfahren, um Aktivitäten ausländischer terroristischer Kämpfer und Terrorismus insgesamt zu verhindern. Andere Staaten müssen erst noch einen klar definierten AML-Rahmen zur Bekämpfung der Terrorismusfinanzierung und zum Abfangen terroristischer Aktivitäten einrichten (und, wo dies bereits geschehen ist, verstärken).

Regierungen müssen sich auch bewusst sein, dass die Grenzen zwischen Menschenrechtsverletzungen, Kategorisierung ausländische terroristische Kämpfer, bewaffnete Konflikte und allgemeiner Terrorismus verschwimmen. Zwar haben mehrere Rechts- und Compliance-Experten, FIUs und Strafverfolgungsbehörden Fälle im Zusammenhang mit ausländischen Terrorkämpfern untersucht und eine erste Basis „roter Flaggen“ und Indikatoren zur Identifizierung entwickelt, doch gibt es nach wie vor praktische Herausforderungen, um sie explizit zu identifizieren. Derzeit sind nur wenige Daten über inhaftierte ausländische terroristische Kämpfer verfügbar, da viele der bereitgestellten Informationen unzuverlässig und verzerrt sind.

Eine Kombination von Faktoren wie die Erstellung von Sozial- und Verhaltensprofilen, die Analyse von Geolokalisierung und Reisemustern, das Verständnis irrationaler Kontobewegungen und eine robuste Feedback-Kommunikation zwischen den Strafverfolgungsbehörden und den FIUs wird jedoch dazu beitragen, dass die Region gegen destabilisierende ausländische terroristische Kämpfer gewappnet ist.

 

[1]Islamic State group names its new leader as Abu Ibrahim al-Hashemi - BBC News

[2]Islamic State leader Abu Ibrahim al-Qurayshi killed in Syria, US says - BBC News

[3]Southeast Asian Analysts: IS Steps Up Recruitment in Indonesia, Malaysia, Philippines

[4]Publication of Financing and Facilitation of FTFs and Returnees in Southeast Asia Report

[5]Investigation, Prosecution and Adjudication of Foreign Terrorist Fighter Cases for South and South-East Asia (unodc.org)

[6]Foreign Terrorist Fighters - Manual for Judicial Training Institutes South-Eastern Europe

[7]Publication of Financing and Facilitation of FTFs and Returnees in Southeast Asia Report

 

 

02.

Aug

Der überwiegende Teil der Finanzwelt hat in den letzten Jahren und Jahrzehnten enorme Summen investiert, um den regulatorischen Anforderungen im Bereich Compliance vollumfänglich gerecht zu werden. Dieses fängt bei der Gewinnung und Ausbildung von qualifiziertem Personal an und endet bei der Umsetzung der regulatorischen Erfordernisse, die aufgrund neuer Services, Produkte und Prozesse einem ständigen Wandel unterzogen sind. Mit großem Aufwand sind Screening- und Monitoring-Softwaresysteme implementiert worden, um Transaktionen auf Anhaltspunkte für Geldwäsche und Terrorismusfinanzierung zu überprüfen.

Was aber oftmals nicht im Fokus stand, war die notwendige Analyse der Qualität der zu verarbeitenden Daten. Sie bildet die Basis, um die Systeme adäquat betreiben zu können. Der Umgang mit fehlenden bzw. falschen Daten hat enorme Auswirkungen auf die Effektivität der Compliance und stellt ein hohes Risiko dar, im Rahmen von internen oder externen Prüfungen die regulatorischen Anforderungen nicht zu erfüllen.

Falsche bzw. fehlende Daten haben zur Folge, dass die in den Systemen hinterlegten Parameter nicht wirken können, wie es aus der Sicht der Compliance und aus regulatorischer Sicht notwendig wäre. Dies kann einerseits zu einer Vielzahl von falschen Treffern in den Systemen führen, die dann automatisiert oder manuell geschlossen werden müssen − unter Berücksichtigung der notwendigen Anforderungen an die Qualität der Dokumentation. Auf der anderen Seite können Transaktionen nicht auffällig werden oder die vorgeschriebene Kundenrisikoklassifizierung kann nicht wie erforderlich und gesetzlich vorgeschrieben erfolgen.

Um die Auswirkungen der Erfassung von falschen Daten einmal zu skizzieren, betrachten wir den folgenden Sachverhalt beispielhaft:

  • Es kommt zur Begründung einer Geschäftsbeziehung mit einem MSB (Money Service Business).
  • Basierend auf der Empfehlung 14 der FATF sollte geprüft werden, ob es sich um einen lizensierten Provider handelt.
  • Dieses gilt für natürliche und juristische Personen ohne jegliche Einschränkung.
  • Wenn im Rahmen des Kundenannahmeprozesses der „Sector of Activity“ nicht richtig erfasst wird, können alle weiteren definierten Maßnahmen ihre Wirkung nicht entfalten, wie
    • Approval bei der Kundenannahme
    • Adäquate Kundenrisikoklassifizierung
    • Zuordnung zur richtigen Risikoklasse
    • Zeitraum der Datenaktualisierung
    • Überleitung in das Monitoringsystem
    • Angemessene Überwachung in den Zahlungssystemen
    • U.U. falsches / unvollständiges Reporting

Neben der Erfassung solcher Daten zählt die Pflege der kundenbezogenen Stammdaten zur elementaren Basis einer sachgerechten Compliance. Nur mit vollständigen, aktuellen und richtigen Daten ist eine Analyse der Aktivitäten eines Kunden überhaupt erst möglich. Sollte es im Rahmen der Recherchen dazu kommen, dass die Compliance-Abteilung sich dazu entschließt, eine Meldung an die FIU zu erstatten, ist die Behörde nur dann in der Lage, Fälle zu analysieren und die notwendigen Maßnahmen einzuleiten, wenn ihr vollständige und korrekte Daten übermittelt wurden.

Nur vollständige und korrekte Daten erlauben es den Verpflichteten, die Empfehlung 16 der FATF bei Auslandsüberweisungen zu erfüllen. Nur mit vollständigen und korrekten Daten sind darüber hinaus die kontinuierlichen Prüfungen des Kundenbestands gegen die Sanktions- bzw. PEP-Listen möglich.

In diesem Jahr und in den nächsten Jahren wird eine Vielzahl von Financial Intelligence Units (FIUs) die Software goAML des UNODC für eine effektivere Verfolgung von Meldungen grenzüberschreitend einsetzen. Diese Anstrengungen können aber nur dann von Erfolg gekrönt sein, wenn die an die FIU elektronisch übermittelten Daten korrekt und vollständig sind.

In einem ersten Schritt ist daher von Finanzinstituten zunächst zu ermitteln, ob Kundenstammdatensätze mehrfach in den Kernbankensystemen hinterlegt sind. Sollte dieses der Fall sein, wird dringend empfohlen, gleiche Kundendatensätze zu verschmelzen, um ein einheitliches Bild über das Gesamtengagement zu bekommen.

Weitere Schritte sind die Prüfung einzelner Informationen wie

  • Nachname
  • Vorname
  • Geburtsdatum
  • Geburtsort
  • Anschrift
  • Passdaten

auf ihre Vollständigkeit und Richtigkeit.

Die Vollständigkeit der Daten beschränkt sich aber nicht nur auf die Stammdaten des Kunden. Wichtig ist darüber hinaus regelmäßig zu prüfen, ob die an die Research-Systeme übergebenen Transaktionsdaten vollständig und korrekt übergeben und verarbeitet werden. So kann beispielsweise das fehlende Länderkennzeichen bei einer Auslandstransaktion dazu führen, dass in einem Monitoringsystem wichtige Sachverhalte nicht auffällig werden, obwohl diese Daten vorhanden sind. Denn ohne das entsprechende Länderkennzeichen können grenzüberschreitende Transaktionen im SWIFT-Netz nicht verarbeitet werden. 

Insofern stehen die Verpflichteten vor der ständigen Herausforderung, sich nicht nur mit den regulatorischen Anforderungen auseinanderzusetzen. Sie haben auch dafür Sorge zu tragen, dass ein in seiner Gesamtheit geschlossenes System sicherstellt, alle regulatorischen Anforderungen erfüllen zu können.