Fachbeiträge & Kommentare zu Compliance

Die Verantwortung für die Ordnungsmäßigkeit der elektronischen Bücher und der sonstigen elektronischen Aufzeichnungen trägt ausschließlich der Steuerpflichtige. Dies gilt auch, wenn die Buchführung oder die Aufbewahrung ausgelagert werden.[1] 4.2.9.1 Verstöße gegen die Ordnungsvorschriften für die Buchführung nach § 146 AO Durch das JStG 2020 wurde in § 146 AO ein neuer Abs. 2...mehr

In § 147 AO ist geregelt, welche Vorschriften für die Aufbewahrung von Unterlagen beachtet werden müssen. Wird die elektronische Buchführung in eine Cloud ausgelagert, sind insbesondere die Einhaltung der Aufbewahrungsfrist nach § 147 Abs. 2 AO, die Verpflichtung zur Lesbarmachung von elektronischen Unterlagen nach § 147 Abs. 5 AO und die Ermöglichung des Datenzugriffs auf d...mehr

Die seit Mai 2018 geltenden Vorschriften zum Datenschutz (Datenschutzgrundverordnung der Europäischen Union und Bundesdatenschutzgesetz) definieren noch einmal mehr im Detail die Pflichten der Unternehmen, die personenbezogene Daten (z. B. von Kunden, Lieferanten, Mitarbeitern, etc.) in die Cloud auslagern. Von Bedeutung sind dabei insbesondere die Vorschriften zur Auftragsv...mehr

Auf der Basis der Risikolandkarte kann dann eine Priorisierung vorgenommen werden. Risiken mit vergleichsweise hoher Eintrittswahrscheinlichkeit und Schadenshöhe sollten naturgemäß mit Vorrang adressiert werden. Für die einzelnen Risiken sollten Maßnahmen abgeleitet werden, durch die die Risiken bei wirtschaftlicher Betrachtungsweise in einem noch tragbaren Rahmen bleiben. Zu...mehr

Cloud Computing ist heute im Alltag der Unternehmen angekommen. Waren es 2016 noch nur 65 % der Unternehmen, die angaben, Cloud Services zu nutzen, waren es 2022 bereits 84 % und 2024 98 % der Befragten, die angeben, in der Cloud zu sein.[1] Cloud Computing bietet den nachfragenden Unternehmen eine Vielzahl an Vorteilen. Während noch 2022 die Reduzierung der Kosten das Hauptz...mehr

Unter dem Begriff Cloud Computing werden verschiedene Dienstleistungsmodelle zusammengefasst. Abbildung 2: Service- und Verteilungsmodelle bei Cloud Computing Anhand der Tiefe der bereit gestellten Ressourcen lassen sich folgende Servicmodelle unterscheiden: IaaS: Infrastructure as a Service PaaS: Plattform as a Service SaaS: Software as a Service IaaS bedeutet, dass dem nachfrage...mehr

mehr

Ursächlich für den Ausfall des Servers können technische Probleme sein. So besteht das Risiko, dass die Verbindung zur Cloud aufgrund von Störungen oder eines Komplettausfalls des Internets nicht mehr zur Verfügung steht. Wie alltäglich dieses Risiko ist, zeigt sich daran, wie viele Störmeldungen täglich auf entsprechenden Websites eingehen.[1] In den meisten Fällen gelingt ...mehr

Der Markt für Cloud-Produkte und Cloud-Dienstleistungen wächst. Daraus folgt, dass auch die Zahl der Wettbewerber und damit die Intensität des Wettbewerbs zunimmt. Nicht alle Anbieter werden auf Dauer überleben können. Die Insolvenz eines Anbieters ist daher ein relevantes Thema. Aus der Insolvenz eines Anbieters können sich verschiedene Konsequenzen ergeben. Zum einen ist es...mehr

Überblick Cloud Computing ist heute aus dem Alltag nicht mehr wegzudenken. Sowohl in den Unternehmen als auch im privaten Bereich hat Cloud Computing heute einen bereits hohen und noch weiter steigenden Stellenwert. So wird erwartet, dass sich die Einnahmen aus Cloud Infrastruktur Dienstleistungen von 2024 bis 2028 von 850 Mrd. USD in 2024 verdoppeln werden. Einer der wesent...mehr

Einerseits ist im Rahmen eines Angriffs denkbar, dass der Hacker sich Zugang zu den Daten des Anwenders verschafft. Er hat dann also die gleichen Zugriffsmöglichkeiten wie der Anwender selbst. So ist es z. B. möglich, dass er Rechnungen auf den Namen des Anwenders ausstellt oder ihm erteilte Einzugsermächtigungen missbraucht. Zudem hat er Zugriff auf alle dort vorhandenen per...mehr

Aus dem Kontext der Beschlagnahme ergeben sich hinsichtlich des Cloud Computings zwei wesentliche Aspekte. Zum einen geht es um die Frage, welche Risiken entstehen, wenn Hardware, auf der die Daten in der Cloud gelagert werden, beschlagnahmt oder sichergestellt wird. Aufgrund der Virtualisierung der Datenbestände ist eine Abgrenzung der Daten auf einzelne Speichermedien schwi...mehr

Nach § 8 Nr. 1d und e GewStG ist ein Viertel der Summe aus Miet-, Pachtzinsen und Leasingraten für die Benutzung von beweglichen bzw. unbeweglichen Wirtschaftsgütern des Anlagevermögens, die im Eigentum eines anderen stehen, zu 20 % bzw. zu 50 % hinzuzurechnen, soweit die Summe den Betrag von 200.000 EUR übersteigt[1]. Es stellt sich daher die Frage, bei welchen Vertragstype...mehr

Durch das JStG 2020 wurde in § 146 AO ein neuer Abs. 2a eingefügt. Verlangte § 146 AO zuvor, dass die Bücher und sonstigen Aufzeichnungen im Geltungsbereich der AO geführt und aufbewahrt werden, erlaubt es der neu eingefügte Absatz nunmehr, dass ... "Steuerpflichtige elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen oder Teile davon in einem andere...mehr

Möchte der Anwender den Vertrag beenden, ergeben sich bei genauerer Betrachtung einige Probleme. So stellt sich z. B. die Frage, wie die Daten zum Anwender zurücktransferiert und wie im Anschluss daran mit ihnen verfahren werden soll. Problematisch ist, ob der Anwender selbst überhaupt über die notwendigen Speicherkapazitäten verfügt, um die Daten künftig im eigenen Rechenzen...mehr

Gerade bei kleineren Cloud-Anbietern besteht das Risiko, dass sie nicht über das erforderliche Knowhow oder über die benötigten Kapazitäten verfügen und daher große Cloud-Anbieter als Subunternehmer beauftragen. Im ungünstigsten Fall wird das auslagernde Unternehmen darüber nicht informiert. Bei Auftreten von Problemen – gleich welcher Art – oder beim Ausfall des kleineren C...mehr

Nach der Identifikation der Risiken sind Eintrittswahrscheinlichkeiten und Schadenshöhe zu schätzen. Es kommt in diesem Schritt nicht darauf an, ganz präzise Werte abzuleiten. Wahrscheinlich ist das auch nicht immer möglich. Gegebenenfalls kann man hier zunächst auch mit Werten für die Eintrittswahrscheinlichkeit in "sehr gering – gering – mittel – hoch – sehr hoch" arbeiten...mehr

Die möglichen Risiken beim Cloud Computing werden nachstehend in einer Risikotabelle dargestellt und anschließend kurz erläutert. Die Risikoanfälligkeit und die Folgen hängen dabei von dem jeweils eingesetzten Service- und Bereitstellungsmodell ab. In diesem Artikel sollen nicht alle generell möglichen Risiken beim Cloud Computing aufgezeigt werden. Hierzu existieren bereits ...mehr

Ferner besteht das Risiko, dass Rechenzentren des Cloud-Anbieters bewusst durch menschliches Handeln in Form von Hackerangriffen zerstört, beschädigt oder manipuliert werden. Insgesamt wurden laut Bundeskriminalamt im Jahr 2023 134.407 Straftaten im Bereich Cybercrime erfasst. Das stellt sogar einen leichten Rückgang dar. Demgegenüber steht allerdings der Anstieg der Strafta...mehr

Obwohl sich viele Unternehmen dieses Risikos nicht bewusst sind, kann es durchaus sein, dass die Inanspruchnahme von Cloud-Dienstleistungen und die damit verbundene Datenübermittlung den Vorschriften der Exportkontrolle unterliegen. Grundsätzlich unterliegt ein Unternehmen der Exportkontrolle, wenn es genehmigungspflichtige Güter ausführt und/oder Güter in ein kritisches Land...mehr

Eine allgemeingültige Definition des Cloud Computing existiert nicht. Das Bundesamt für Sicherheit in der Informationstechnik verwendet die Definition der ISO-Norm ISO/IEC 22123-1 Abschnitt 3.1.1.: "Cloud Computing: Paradigma, einen netzwerkbasierten Zugang auf ein skalierbares und elastisches Reservoir gemeinsam nutzbarer physischer oder virtueller Ressourcen nach dem Selbst...mehr

Rz. 49 Bayerisches Landesjugendamt, Empfehlungen zur Umsetzung des Schutzauftrags nach § 8a SGB VIII, München, 15.3.2006; Beckmann/Lohse, SGB VIII-Reform: Überblick über den Entwurf eines Kinder- und Jugendstärkungsgesetzes, JAmt 2021, 178; Blüml/Kindler/Lillig, Kindeswohlgefährdung und ASD, Berlin 2006; Bringewat, Schutzauftrag bei Kindeswohlgefährdung (§ 8a SGB VIII) und stra...mehr

Rz. 146 Gegen juristische Personen können Bußgelder, nicht jedoch Kriminalstrafen verhängt werden, in vielen anderen Rechtsordnungen, auch innerhalb der EU und nach dem Strafrecht vieler US-Bundesstaaten ist dies hingegen möglich. Auch in Deutschland soll dies durch das neue Verbandssanktionengesetz (VerSanG-E) künftig möglich sein. Sobald dieses in Kraft tritt, wird der Aus...mehr

Rz. 59 Der Ausschluss des Versicherungsschutzes bei wissentlicher Pflichtverletzung wird überwiegend für wirksam erachtet.[1] Für die D&O-Versicherung liegt noch keine BGH-Entscheidung vor.[2] Allerdings hält der BGH den Ausschluss der wissentlichen Pflichtverletzung bei der Vermögensschadenshaftpflichtversicherung bei den verbreiteten Berufshaftpflichtversicherungen für zul...mehr

Es besteht – unbeschadet der übrigen Vertragsbestimmungen – Versicherungsschutz nur, soweit und solange dem keine auf die Vertragsparteien direkt anwendbaren Wirtschafts-, Handels- oder Finanzsanktionen bzw. Embargos der Europäischen Union oder der Bundesrepublik Deutschland entgegenstehen. Dies gilt auch für Wirtschafts-, Handels- oder Finanzsanktionen bzw. Embargos der Vere...mehr

mehr

Die ISO 45003 betont, dass neben betrieblichen Schutzmaßnahmen auch individuelle Bewältigungsstrategien für psychosoziale Risiken gefördert werden sollten (ISO 45003, 2021).[1] Relevanz der Verknüpfung von BGM und ISO 45001 Die Verbindung von BGM und ISO 45001 ermöglicht Unternehmen, Gesundheitsförderung und Arbeitsschutz zu vereinen. Diese Kombination bietet: Präventiven Mehr...mehr

Als weiteres Einsatzgebiet bietet sich der Einsatz im Rahmen des Tax Compliance Management an. So können beispielsweise durch Process Mining Abweichungen bei den internen Kontrollen gegenüber dem eigentlich angedachten Prozessablauf aufgedeckt und abgestellt werden. Darüber hinaus kann das Process Mining der Einstieg in eine automatisierte Umsetzung des internen Kontrollsyst...mehr

Die Wahl einer der klassischen Methoden für die Analyse der Prozesse erfolgt zunächst entsprechend der Zielstellung der Analyse. Zielstellung können u. a. sein: Senkung der Durchlaufzeit Senkung der Kosten Verbesserung der Qualität/Senkung der Fehlerquote Überprüfung der Einhaltung von vorgegebenen Prozessen (Process Compliance) Verbesserung des Automatisierungsgrades eine Kombina...mehr

Die Dekarbonisierung der Lieferkette erweist sich als strategischer Imperativ für das Top-Management moderner Unternehmen. Die Beispiele in diesem Artikel verdeutlichen, dass die Dekarbonisierung der Lieferkette weit mehr als eine Compliance-Aufgabe ist. Sie bietet Chancen für Kosteneinsparungen, Innovationen und Wettbewerbsvorteile. Unternehmen, die diese Aspekte berücksich...mehr

Neben der variablen Vergütung mit Zielvereinbarung können auch Prämien werden, die ein bestimmtes nachhaltiges Verhalten belohnt (z. B. Papiersparprämie). Wichtig Vertragliche Ausgestaltung von Prämien Es ist wichtig die variable Vergütung mit Zielvereinbarung als widerruflich oder (nicht und) als freiwillige Leistung auszugestalten, um diese als Arbeitgeber auch wieder ändern...mehr

Grundsätzlich können Unternehmen soziale Projekte fördern . Erste Möglichkeiten sind die rein finanzielle Unterstützung oder solidarische Bekundungen. Dabei sind zunächst keine arbeitsrechtlichen Themen zu beachten. Darüber hinaus sollen oftmals auch medienwirksam Projekte mit der Arbeitskraft der Arbeitnehmer eines Unternehmens unterstützt werden. Wird der Arbeitnehmer im Ra...mehr

Die HR-Organisation kann eine Vielzahl von Aufgaben wahrnehmen. Die HR-Aufgaben werden im unternehmerischen Sprachgebrauch auch als HR-Dienstleistung, HR-Aufgabe oder HR-Produkt im HR-Produktportfolio bezeichnet. Die Aufgaben zielen darauf ab, durch passende Initiativen die Menschen im Unternehmen für ihre Aufgaben zu befähigen. Grundsätzlich besteht die Möglichkeit, über ein...mehr

Über Outsourcing besteht die Möglichkeit, einzelne Prozesse oder Dienstleistungen bei externen Dienstleistern einzukaufen. Dabei sind Nutzen und Risiken immer abzuwägen. Einige Überlegungen seien im Folgenden dargestellt. Strategische Prioritäten: Wenn sich die HR-Organisation auf strategische Aufgaben konzentrieren möchte, kann das Outsourcing Ressourcen freisetzen. Komplexit...mehr

Ist ein KI-System als Hochrisiko-KI-System qualifiziert worden, müssen nach Art. 8 ff. KI-VO für Anbieter umfangreiche Anforderungen erfüllt werden. Diese können insbesondere die folgenden Compliance-Anforderungen umfassen: Einrichtung, Dokumentation sowie Verwendung eines Risikomanagementsystems (Art. 9 KI-VO), Qualität der verwendeten Daten (Art. 10 KI-VO), Technisch Dokument...mehr

Die Umsetzung einer rechtmäßigen KI-Compliance ist wesentlich von der Risikokategorisierung des KI-Systems und der Rolle im KI-Lifecycle (insb. Anbieter oder Betreiber) abhängig. So treffen härtere Compliance-Folgen Hochrisiko-KI-Systeme gegenüber KI-Systemen mit einem eingeschränkten oder niedrigen Risiko. Der Anwendungsbereich nach Art. 2 KI-VO ist weitreichend, sowohl was ...mehr

Die KI-VO umfasst 113 Artikel, 180 Erwägungsgründe, 13 Anhänge und gliedert sich in 13 Kapitel. Der Aufbau der KI-VO orientiert sich stark an der Risikokategorisierung von KI-Systemen. Nach einem allgemeinen Teil werden zur Abgrenzung die verbotenen KI-Systeme (konkret "Verbotene Praktiken im KI-Bereich") nach Art. 5 KI-VO sowie anschließend Hochrisiko-KI-Systeme und deren u...mehr

3.5.1 Compliance bei Hochrisiko-KI-Systemen Ist ein KI-System als Hochrisiko-KI-System qualifiziert worden, müssen nach Art. 8 ff. KI-VO für Anbieter umfangreiche Anforderungen erfüllt werden. Diese können insbesondere die folgenden Compliance-Anforderungen umfassen: Einrichtung, Dokumentation sowie Verwendung eines Risikomanagementsystems (Art. 9 KI-VO), Qualität der verwendet...mehr

Die KI-VO vertritt einen risikobasierten Ansatz für KI-Systeme und KI-Modelle. Danach sollten Art und Inhalt der Vorschriften auf die Intensität und den Umfang der Risiken zugeschnitten werden, die von KI-Systemen ausgehen können.[1] Daraus leitet die KI-VO das Verbot für bestimmte inakzeptable Praktiken bei KI ab, sowie Anforderungen an Hochrisiko-KI-Systeme und Transparenz...mehr

Überblick Die aktuellen Entwicklungen im KI-Bereich haben gezeigt, dass KI-Systeme und KI-Anwendungen ihren Platz im Rechts- und Steuerrechtsbereich verdient haben. Aber auch darüber hinaus wird KI einen immer stärkeren Bestandteil des Lebens bzw. der Arbeitswelt einnehmen. Vor diesem Hintergrund sind auch die neuen Datenregulierungsinitiativen (z. B. die KI-VO) zu sehen. De...mehr

Werden bestimmte KI-Systeme nach Art. 50 KI-VO oder GPAI nach Art. 51 ff. KI-VO verwendet, müssen Transparenzpflichten wahrgenommen werden. KI-Systeme i. S. d. Art. 50 Abs. 1 bis 4 KI-VO müssen im Ergebnis die synthetische Erzeugung der Inhalte für die Nutzer kenntlich machen. Gem. Art. 50 Abs. 5 Satz 1 KI-VO müssen die genannten Informationen den betreffenden natürlichen Per...mehr

Im Unterschied zu anderen KI-Anwendungen, die stark auf rein numerische Prozesse ausgerichtet sind, ist im Rechts- sowie Steuerbereich die Verarbeitung von Sprache die wichtigste Komponente der Arbeit. Aus diesem Grund galt viele Jahre der Rechts- bzw. Steuerbereich als wenig automatisierungsfreundlich und wurde vernachlässigt. Inzwischen wurde dieser Bereich aber kontinuier...mehr

Es existieren unterschiedlichste KI-Systeme, -Techniken sowie -Modelle. Für eine stärkere Systematisierung kann man diese grob in regelbasierte KI-Systeme sowie selbstlernende bzw. machine-learning basierte KI-Systeme untergliedern. Regelbasierte KI-Systeme bauen auf den Erfahrungen sowie der Programmierung von Menschen auf und treffen ihre Entscheidungen anhand der eingepfl...mehr

Die Meldestellen können von unterschiedlichen Personen und Abteilungen geführt werden, bei entsprechender notwendiger Sachkunde aber auch von identischen Personen betrieben werden.[1] Praxis-Tipp Getrennte Meldestellen nach AGG und HinSchG Weil das HinSchG grundsätzlich schwerwiegendere Verstöße im Blick hat, die straf- oder bußgeldbewehrt sind und es für beide Stellen untersc...mehr

Die Bestimmung der zuständigen Stelle fällt in die Organisationshoheit des Arbeitgebers. Gesetzliche Vorgaben hierfür bestehen nicht.[1] Die personelle Besetzung der Beschwerdestelle obliegt damit allein dem Arbeitgeber.[2] Er hat einen weiten Spielraum, welchen Personen er die Befugnisse der Beschwerdestelle einräumt. "Stelle" i. S. d. Gesetzes kann eine einzelne Person sein...mehr

Rz. 247 Im Fall der Gewährung von Zuwendungen aus öffentlichen Kassen (wie Bund, Ländern und Kommunen) an land- und forstwirtschaftliche Betriebe ist nach den allgemeinen Grundsätzen zu prüfen, ob die Zahlung Entgelt i. S. d. § 10 Abs. 1 UStG für eine steuerbare Leistung des Land- und Forstwirts ist, oder ob es sich um einen echten, nicht umsatzsteuerbaren Zuschuss handelt.[...mehr

Wie bereits eingangs erläutert, gibt es eine Vielzahl gesetzlicher und behördlicher Vorgaben zum Datenschutz. Unternehmen müssen sich mit diesen Vorgaben auseinandersetzen, um datenschutzkonform handeln zu können und Datenschutzverstöße zu vermeiden. Vorbehaltlich der im Einzelfall relevanten Details und Einzelfragen gibt es eine gewisse Schnittmenge an Strukturen und Grunds...mehr

Zusammenfassung Am 1.11.2024 sind in China neue Regeln zur Meldung wirtschaftlich Berechtigter (UBOs) in Kraft getreten. Vor diesem Datum gegründete Unternehmen müssen ihre UBOs bis zum 1.11.2025 registrieren. Ab dem 1.11.2024 gegründete Unternehmen müssen ihre UBOs bei Gründung anmelden. China hat den Regulierungsrahmen zur Bekämpfung von Geldwäsche in den vergangenen Jahren...mehr

Ein Sustainable Purpose (nachhaltiger Zweck) eines Unternehmens ist eine Zielsetzung, die sowohl den Sinn des Unternehmens und dem damit verbundenen wirtschaftlichen Erfolg als auch die ökologischen und sozialen Auswirkungen berücksichtigt. Dieser Zweck geht über die reine Gewinnerzielung hinaus und integriert Nachhaltigkeitsprinzipien in das Kerngeschäft des Unternehmens. E...mehr

Unterlassungsverfügung Der Schuldnerin ist durch einstweilige Verfügung vom 3.1.2022 untersagt worden, "im geschäftlichen Verkehr gegenüber dem Verbraucher bei dem Vertrieb von Lebensmitteln gesundheitsbezogene Angaben zu machen, ohne dass diese Angabe durch Aufnahme in die Listen nach Art. 13 und 14 HCVO aufgenommen wurden, wenn dies geschieht wie am 8.12.2021 auf der Intern...mehr