Die COVID-19-Pandemie stellt Compliance Management Systeme vor neue Herausforderungen

Mit zunehmender Digitalisierung wächst auch das Risiko von Compliance-Verstößen

Mit steigender Zahl an Impfungen und fortlaufendem Rückgang an Infektionen kommt die Zeit der Aufarbeitung der Krise und der Gestaltung der New Work. Bislang in Kauf genommene Risiken können inzwischen nicht mehr tragbar sein. Unternehmen ahnen, dass Probleme bestehen. Das zeigt eine Befragung durch Deloitte („The Future of Compliance 2020 – Höheres Risiko für künftige Verstöße“). Die laut Studie erwarteten Risiken decken allerdings nicht sämtliche tatsächlichen Compliance-Risiken ab. Dieser Beitrag bietet einen ersten interdisziplinären Überblick über Compliance-Risiken, die infolge der Pandemie und zunehmenden Digitalisierung insbesondere durch Home-Office & Co. ausgelöst wurden. Die Risiken erfordern eine Anpassung bestehender Compliance Management Systeme.

1. HR Compliance

1.1 Home-Office im Inland – Unerkannte Versicherungslücken in der gesetzlichen Unfallversicherung

Die Arbeit im Home-Office führt aufgrund der Vermischung von privaten und beruflichen Sphären zu versicherungsrechtlichen Problemen.

Die gesetzliche Unfallversicherung im Inland deckt nur Unfallschäden bei betriebsbezogenem Zusammenhang mit der Tätigkeit ab. Bei Arbeiten aus dem Home-Office kann es bereits auf dem Weg zur Kaffeemaschine oder dem WC sowie dem Weg zu Kita oder Schule zu Versicherungslücken kommen. Das LSG Nordrhein-Westfalen hat mit Urteil vom 9.11.2020 (Az. L 17 U 7487/19) entschieden, dass ein Arbeitnehmer, der sich auf dem Weg in sein Arbeitszimmer zwecks Arbeitsaufnahme im Home-Office verletzt, keinen Versicherungsschutz in der gesetzlichen Unfallversicherung genießt. Auch bei Arbeitsunterbrechungen, wie bei der Hausaufgabenhilfe zwischendurch oder um das Kind von der Kita abzuholen, besteht kein gesetzlicher Unfallversicherungsschutz. Entscheidend ist nach der Rechtsprechung des Bundessozialgerichts im Einzelfall, ob eine Verrichtung mit subjektiver betrieblicher Handlungstendenz ausgeübt wird, die objektivierbar dem Geschäftsbetrieb dient. Auch die Betriebshaftpflichtversicherung deckt regelmäßig nur Unfälle innerhalb der eigenen Betriebsstätte ab. Hält sich der Arbeitnehmer an anderen Orten auf, greift die Betriebshaftpflichtverletzung bei einem Unfall nicht ein. 

Arbeitgebern droht bei bestehenden Versicherungslücken in Rechtstreitigkeiten involviert zu werden, da insbesondere die Abgrenzung einer eigenwirtschaftlichen Tätigkeit von einem Arbeitsunfall im Rahmen der mobilen Arbeit besonders streitanfällig ist. Hier ist u. U. eine Ausweitung der Betriebshaftpflichtversicherung zur Vermeidung weiterer Risiken zu überdenken. In dem Gesetzesentwurf zur Mobilen Arbeit des BMAS (Oktober 2020) sollten zwar u. a. die o. g. Versicherungslücken geschlossen werden. Da das Gesetz jedoch gestoppt wurde, bleibt abzuwarten, inwieweit der Gesetzgeber hier in Zukunft tätig werden wird.

1.2 Mobile Arbeit im Ausland

Viele Arbeitgeber hinterfragen aktuell nicht, von wo aus die Arbeitnehmer ihre Arbeit derzeit „remote“ erbringen. Sollten Arbeitnehmer z. B. in Grenzregionen aus einem anderen Mitgliedstaat ihre Arbeit erbringen (da sie dort ggf. ein Ferienhaus oder Bekannte haben) besteht die Gefahr, dass Meldepflichten, Sozialversicherungs- und Steuervorschriften nicht eingehalten oder benötigte Dokumente nicht mitgeführt werden. Nicht selten haben Arbeitnehmer während der Pandemie eigenmächtig ihr Home-Office ins Ausland verlegt.

1.2.1 Arbeitsschutzvorschriften – günstigere Arbeitsvorschriften, Eingriffsnormen

Die Arbeit aus einem anderen Land führt dazu, dass die dortigen zwingenden öffentlich-rechtlichen Arbeitsvorschriften gem. § 9 Rom-I-VO Anwendung finden. Hierzu zählt insbesondere auch die maximal zulässige Arbeitszeit und die geltenden Arbeitsschutzvorschriften vor Ort. 

1.2.2 Nachweis des anwendbaren Sozialversicherungsrecht – A1-Bescheinigung

Übt ein Arbeitnehmer die Tätigkeit in einem anderen Land aus, muss er dort Sozialversicherungsnachweise erbringen. Eine Ausnahme hiervon können in Europäischen Vorschriften zur Koordinierung der Sozialen Sicherheit, der VO (EG) 883/2004 oder in Sozialversicherungsabkommen geregelt sein. Die Pflicht zum Nachweis besteht ab dem ersten Tag der Tätigkeit. Bei einer Kontrolle der Arbeitnehmer im Ausland müssen die Arbeitnehmer eine Bescheinigung über die Anwendbarkeit deutschen Sozialversicherungsrechts (sog. A1-Bescheinigung) nachweisen. Eine solche wird häufig fehlen, da der Arbeitgeber sie beantragen muss, er vom selbst gewählten Arbeitsort des Arbeitnehmers während der Pandemie aber vermutlich keine Kenntnis hat. Das Nichtmitführen der A1-Bescheinigung kann zu Bußgeldern für den Arbeitgeber führen. Insbesondere in Frankreich und Österreich gab es dazu bereits vermehrt Kontrollen. 

1.2.3 Doppelte Sozialversicherungspflicht

Halten sich Arbeitnehmer im Nicht-EU-Ausland auf, kann eine doppelte Beitragszahlungspflicht drohen, wenn die Versicherungssysteme nicht durch Sozialversicherungsabkommen aufeinander abgestimmt sind. Es ist im Einzelfall zu prüfen, ob ein Sozialversicherungsabkommen zwischen Deutschland und dem Ort, an dem die Tätigkeit ausgeübt wird, vorliegt und sofern ein solches Abkommen besteht, für welche Zweige der Sozialversicherung das Abkommen Regelungen vorsieht. Häufig decken die Abkommen nicht alle Zweige ab. Besteht kein Sozialversicherungsabkommen oder bezieht es sich nicht auf einen Zweig der deutschen Sozialversicherung, kann eine doppelte Beitragszahlungspflicht bestehen. Zahlt der Arbeitgeber aufgrund Unkenntnis vom Aufenthaltsort des Arbeitnehmers nicht in die ausländische Sozialversicherung ein, drohen diesem Bußgelder.

1.2.4 Krankenversicherung

Hält sich ein Arbeitnehmer im Nicht-EU-Ausland auf und benötigt dort medizinische Hilfe, ist der Arbeitgeber nach § 17 Abs. 1 SGB V zur Sachleistung verpflichtet. Der Anspruch des Arbeitnehmers gegen die Krankenversicherung ruht hingegen während der Zeit im Ausland, § 16 SGB V. Der Arbeitgeber kann sich zwar die Kosten durch die Krankenkasse ersetzen lassen, aber nur beschränkt auf die Höhe, die die Krankenkasse im Inland geleistet hätte. Leistet der Arbeitgeber mehr, trägt er die finanziellen Lasten. 

1.2.5 Meldepflichten im Ausland

Nicht nur bei Tätigkeiten in Nicht-EU-Staaten, sondern auch innerhalb der EU bestehen Pflichten zur Mitführung von Bescheinigungen oder es sind Anmeldungen bei nationalen Stellen erforderlich (wie z. B. in Belgien die sog. Limosa-1 Anmeldung). Innerhalb der EU folgt die Zulässigkeit der Kontrollen aus der Durchführungsrichtlinie zur Arbeitnehmerentsenderichtlinie. Eine Entsendung im Sinne der Richtlinie liegt auch bereits bei kurzfristigen Tätigkeiten vor. Frankreich sieht beispielsweise die Benennung einer Kontaktperson im Inland durch den Arbeitgeber vor. Bei Verstößen drohen wiederum Bußgelder.

1.2.6 Aufenthaltsrecht und Sanktionen für fahrlässige Unkenntnis

Halten sich Arbeitnehmer während der Pandemie außerhalb Europas auf, ggf. um das Home-Office mit dem Leben in einem fremden Land zu verbinden, genügt regelmäßig ein Touristenvisum nicht, da ein solches keine Arbeitserlaubnis beinhaltet. Besteht kein zulässiger Aufenthaltstitel und kann dem Arbeitgeber fahrlässige Unkenntnis vorgeworfen werden, drohen diesem Sanktionen.

1.2.7 Ausschluss von öffentlichen Aufträgen

Verstöße gegen das Sozialversicherungsrecht, Steuerrecht und Meldepflichten werden in einigen Staaten mit dem Ausschluss von öffentlichen Aufträgen für eine bestimmte Zeit sanktioniert. Die Sanktion greift nicht nur bei vorsätzlichen Verletzungen, sondern auch bei Verstößen der Arbeitnehmer, von denen der Arbeitgeber fahrlässig keine Kenntnis hatte.

1.2.8 Arbeitszeitrechtliche Compliance

Arbeitszeitrechtliche Compliance-Risiken bei einer Tätigkeit im Home-Office bestehen ebenfalls fort. Der Arbeitgeber sollte diesbezüglich klare Vorgaben machen, diese kontrollieren und nach aktueller Rechtslage zumindest die Überstunden dokumentieren. Es ist zudem im Blick zu behalten, wann die arbeitszeitrechtlichen Vorgaben des EuGHs in nationales Recht umgesetzt werden. Danach müssen die Mitgliedstaaten die Arbeitgeber verpflichten, ein objektives, verlässliches und zugängliches System zur Erfassung der täglichen Arbeitszeit einzuführen.

2. Steuerrechtliche Compliance

2.1 Doppelbesteuerung, 183-Tage-Regelung

Die Zuordnung von Besteuerungsrechten erfolgt im internationalen Kontext aufgrund von Doppelbesteuerungsabkommen (DBA). Diese sehen vor, dass das Besteuerungsrecht für Einkünfte aus nichtselbständiger Arbeit (Arbeitslohn) bei dem Staat liegt, in dem der Arbeitnehmer ansässig ist. Übt der Arbeitnehmer seine Tätigkeit aber auch in einem anderen Staat aus, steht auch diesem Staat ein Besteuerungsrecht zu. Eine Ausnahme davon bildet die sog. „183-Tage-Regelung“. Diese sieht vor, dass das Besteuerungsrecht beim Ansässigkeitsstaat des Arbeitnehmers verbleibt, wenn dieser sich in dem anderen Staat nicht mehr als 183 Tage aufgehalten hat. Einige DBA stellen insoweit nicht auf die Aufenthaltsdauer, sondern auf die Dauer der im anderen Staat ausgeübten Tätigkeit ab (z. B. in Dänemark und Belgien). 

Die Corona-Pandemie dauert nun bereits seit über einem Jahr an, einige Unternehmen ermöglichen ihren Mitarbeitern vorausschauend sogar bis Ende 2021 das mobile Arbeiten. Es kann deshalb nicht ausgeschlossen werden, dass Arbeitnehmer bereits mehr als 183 Tage aus dem Ausland heraus arbeiten oder gar ihren Wohnsitz im rechtlichen Sinne ins Ausland verlagert haben. Durch die Tätigkeit des Arbeitnehmers im Ausland kann somit das Risiko einer doppelten Besteuerung einhergehen. Denn ist die Ausnahmeregelung nicht anwendbar und wird der Arbeitnehmer sowohl in seinem Ansässigkeitsstaat als auch in einem anderen Staat tätig, ist das Besteuerungsrecht/-substrat zwischen den Staaten aufzuteilen. Damit gingen steuerliche Pflichten des Arbeitgebers und ggf. des Arbeitnehmers im Ausland einher (ggf. Registrierung, Anmeldung eines Lohnkontos und Zahlung von Lohnsteuer). 

2.2 Risiko der Begründung einer ausländischen Betriebsstätte

Zudem besteht das Risiko, dass Arbeitnehmer, die ihre Arbeit während der Pandemie längerfristig aus dem Ausland erbringen, u. U. eine ausländische Betriebsstätte für das deutsche Unternehmen begründen könnten. Dies könnte u. a. zu einer Besteuerungspflicht der Unternehmensgewinne im Ausland führen. Insoweit wird auf internationaler Ebene bereits erwogen, ein Home-Office als Betriebsstätte anzusehen, wenn dem Arbeitnehmer kein Arbeitsplatz zur Verfügung gestellt wird oder er auf Weisung des Unternehmens regelmäßig oder durchgehend das Home-Office (im Ausland) nutzt. Zudem könnten Arbeitnehmer eine Vertreter-Betriebsstätte begründen, wenn sie berechtigt sind, im Namen des Unternehmens Verträge abzuschließen und diese Vollmacht „im anderen Staat“ gewöhnlich ausüben. Selbst Vorbereitungshandlungen können hier ausreichend sein. Die Grundsätze der Vertreterbetriebsstätte gelten nach jüngerer Rechtsprechung auch für Organe des Unternehmens und Personen mit Geschäftsleitungsfunktionen. Wird eine Betriebsstätte im anderen Staat begründet, wäre eine steuerliche Registrierung im anderen Staat erforderlich und daneben auch weitergehende Pflichten zu erfüllen (u. a. Aufzeichnungs- und Steuererklärungspflichten, Bilanzierung, Gewinnabgrenzung, anteilige Versteuerung des Unternehmensgewinns). 

3. Datenschutzrechtliche Compliance

3.1 Datensicherheit – „Cybersecurity“

Das Thema der Datensicherheit steht nicht für sich, sondern ist im Zusammenhang mit der Vermeidung von digitalen Erpressungen zu sehen. Gefahren resultieren aus einem ggf. leichtfertigen Umgang der Arbeitnehmer im Home-Office mit Daten und Dokumenten. Vertrauliche und personenbezogene Daten können auf privaten Geräten und privaten Clouds gespeichert oder unzureichend gesichert werden. Angriffspunkte bestehen auch über das WLAN-Netz, den Router oder eine unzureichende Schutzsoftware auf privaten Rechnern. Ist ein heimischer Rechner mit Schadsoftware infiziert und können Dritte die Kontrolle über diesen PC übernehmen, haben sie faktisch auch Zugriff auf die unternehmensinternen Daten. 

Eine weitere Gefahr besteht bei Arbeitnehmern, die in der häuslichen Umgebung ihren Zugang bei kürzerer Abwesenheit nicht sperren. Es droht die Kenntnisnahme durch Unbefugte zu denen auch Mitbewohner zählen. 

3.2 Videokonferenzen

Videokonferenzen und digitale Tools zur Abstimmung haben durch die Corona-Pandemie starken Einzug in den Arbeitsalltag gefunden. Die Sicherheit dieser Software ist im Auge zu behalten. Videokonferenzen, bei denen über personenbezogene oder vertrauliche Daten gesprochen wird, sollten nicht ohne Zugangsschutz genutzt werden. Zwar haben aktuell Datenschutzprobleme bei Videokonferenzen wenig Beachtung gefunden. Dass sich dieses Abwarten der Datenschutzbehörden ändert, zeigt eine erneute Stellungnahme der Datenschutzbeauftragten zu Softwarelösungen und eine Ankündigung von Mecklenburg-Vorpommerns Datenschutzbeauftragten. Dieser soll angekündigt haben, „Akteure im Bundesland in den nächsten Monaten zu befragen, welche Videokonferenzlösungen auf welcher Rechtsgrundlage eingesetzt werden und wie diese technisch abgesichert sind. Sollten die Antworten unzureichend sein, wolle man von den Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO Gebrauch machen, die ein Spektrum von Sanktionen von einfachen Verwarnungen bis zu Geldbußen vorsehen.“ 

3.3 Generelle Anforderungen der DSGVO

Zudem haben Unternehmen auch in der Corona Pandemie auf die Einhaltung der Anforderungen der DSGVO zu achten. Wegen Verstoßes gegen die Pflicht zur Meldung von Datenpannen innerhalb von 72 Stunden (Art. 33 DSGVO) wurde Booking.com kürzlich ein Bußgeld in Höhe von EUR 475.000 auferlegt. Es kann bereits eine erhebliche Geldbuße nach sich ziehen, wenn die erforderlichen technischen und organisatorischen Maßnahmen nicht ergriffen werden (Art. 83 Abs. 4 lit. a i. V. m. Art. 32 DSGVO).

4. Erschwernisse bei der Aufdeckung von Straftaten / Internal Investigations

Internal Investigations konnten bislang im Unternehmen durch Sichtung der physischen Dokumente und der Untersuchung der im Betrieb vorhandenen Geräte erfolgen. Die bisher etablierten Prozesse basieren darauf, dass Mitarbeiter im Unternehmen zugegen sind, IT-Devices sich im Unternehmen befinden und sämtliche physischen Dokumente in den Räumlichkeiten des Arbeitgebers aufbewahrt werden. Das Home-Office stellt die Untersuchung vor das Problem des regelmäßig fehlenden Zutrittsrechts zu häuslichen Arbeitsplätzen, die den Schutz von Art. 13 GG genießen. Selbst bei einer vertraglichen Regelung eines Zutrittsrechts, ist der Zutritt nicht grenzenlos und insbesondere nicht überraschend ohne Ankündigung zulässig, so dass der Zweck einer örtlichen Kontrolle kaum erzielt werden kann. 

Sofern private Geräte genutzt werden, kann der Arbeitgeber auch keine Herausgabe der Geräte über das Eigentumsrecht verlangen. Die Herausgabe von Dokumenten steht unter dem Vorbehalt, dass der Arbeitgeber überhaupt Kenntnis von der Existenz dieser hat. Bereits die Formulierung von Anträgen im Prozess, die dem Bestimmtheitsgrundsatz hinreichend Rechnung tragen, kann daher in der Praxis Probleme bereiten.

Eine digitale Kontrolle ist nur unter dem Vorbehalt des Datenschutzes möglich. Diskutiert werden „Screenshot Monitoring“, „Keylogger“ sowie „Time-Tracking“ Anwendungen. Datenschutzrechtlich erfordert der Einsatz, soweit die Maßnahme im konkreten Fall überhaupt zulässig ist, eine Information des Arbeitnehmers nach Art. 13 Abs. 1 DSGVO.

Technisch stehen Internal Investigations vor dem Problem der schieren Menge an Daten. Bestenfalls ist frühzeitig zu erwägen, wie die Menge an Daten, die durch das Home-Office produziert wird, gesichert und gesichtet werden können, ohne dass es der Inanspruchnahme externer Hilfe bedarf.

5. Kartellrechtliche Compliance 

5.1 Kooperationen mit Wettbewerbern während und nach der Corona Pandemie

Während der Corona-Krise bestand oder besteht für viele Unternehmen ein verstärktes Bedürfnis nach einer engeren Zusammenarbeit mit Wettbewerbern, z. B. im Rahmen von Einkaufskooperationen, Produktionskooperationen, Vermarktungskooperationen, etc.. Dadurch können Kosten gesenkt und Ressourcen effektiver genutzt werden. Weltweit haben Kartellbehörden dieses Bedürfnis anerkannt und daher während der Pandemie die kartellrechtlichen Regeln für Kooperationen mit Wettbewerbern deutlich flexibler als sonst gehandhabt. Dadurch waren Kooperationen zwischen Wettbewerbern möglich, die ansonsten kartellrechtlich verboten gewesen wären. Dieser „Krisenmaßstab“ ist jedoch zeitlich befristet. Während der Pandemie vereinbarte, zulässige Kooperationen könnten daher „schleichend“ in die Unzulässigkeit übergehen. Unternehmen sollten daher während der Corona-Krise eingegangene Kooperationen mit Wettbewerbern frühzeitig auf ihre kartellrechtliche Zulässigkeit hin überprüfen. Im Zweifel müssen die Verträge strukturell auf die kartellrechtlichen Regeln für die Zeit nach Corona angepasst werden, im worst case ggf. auch aufgelöst werden. 

5.2 Präventive Kartellrechts-Compliance für die Zeit nach Corona 

In Krisenzeiten steigt die Zahl der Kartelle in der Regel deutlich an; wirtschaftlich schwierige Zeiten gelten – fälschlicherweise – verbreitet immer noch als Rechtfertigungsgrund für Kartellabsprachen. Hinzu kommt, dass die Arbeit aus dem Home-Office kartellrechtswidrige Kontaktaufnahmen zu Wettbewerbern begünstigen kann, weil sich Mitarbeiter weniger beobachtet und kontrolliert fühlen. Außerdem haben viele Kartellbehörden die Kartellverfolgung während der Pandemie ausgesetzt bzw. stark eingeschränkt. 

Es ist damit zu rechnen, dass die Behörden mit Abflachen der Infektionszahlen die Kartellverfolgung wieder verstärkt aufnehmen werden. Spätestens dann wird sich das Risiko einer Aufdeckung von Kartellen deutlich erhöhen. Unternehmen sollten daher schon heute ihre präventive Kartellrechts-Compliance optimieren und sich im Zweifel den ein oder anderen Vorgang aus der Zeit während der Pandemie etwas genauer ansehen.

6. Exportkontrollrechtliche Compliance

Wenn Mitarbeiter ihr Home-Office ins Ausland verlegen, können sich exportkontrollrechtliche Probleme dann ergeben, wenn Mitarbeiter für ihre Arbeit exportkontrollierte technische Dokumente (Technologie/ tech data) benötigen. Deren (physische) Mitnahme an den Auslandsort kann ebenso genehmigungspflichtig sein, wie die Einwahl auf den Server des Arbeitgebers aus dem Ausland. Bei Dual-Use Technologie stellt sich dieses Problem vor allem bei Orten in nicht EU-Mitgliedstaaten, bei rüstungsbezogener Technologie bei jedem Ort außerhalb Deutschlands.

Die dargestellten Compliance-Risiken, die durch die Corona-Pandemie und die damit einhergehende Digitalisierung entweder erst ausgelöst bzw. erhöht wurden, erfordern daher Anpassungen existenter Compliance Management Systeme, um Haftungsrisiken zu minimieren. 

Zurück zur Übersicht