Wie zahlreiche Beispiele belegen, kann die Missachtung von Compliance-Vorschriften schnell dramatische Konsequenzen zeigen. So wurden die Kosten des Dieselskandals bei Volkswagen im Frühjahr 2019 auf mehr als 30 Milliarden Euro beziffert. Darin enthalten sind Bussgelder in den USA und Deutschland, Schadenersatzzahlungen sowie Beraterkosten. Allein die Kosten des auf Betreiben des US-Justizdepartements eingesetzten Monitors, der Volkswagen bei dem Aufbau besserer Compliance-Strukturen begleitet, belaufen sich auf einen dreistelligen Millionenbetrag.
Es steht ausser Frage, dass kleinere Unternehmen einen Vorfall dieser Grössenordnung gar nicht überleben könnten. Das heisst aber keineswegs, dass KMU das Thema Compliance auf die leichte Schulter nehmen können. Gerade im Technologiebereich können Anbieter von hochspezialisierten Nischenprodukten beispielsweise durch Vorkommnisse bei Kunden in den Strudel grosser Compliance-Untersuchungen gezogen werden. Unabhängig von ihrer Grösse sind zudem fast alle Schweizer Technologieunternehmen stark exportabhängig. Damit sind sie unweigerlich mit einer Vielzahl ausländischer Regelungen konfrontiert. Im Technologiebereich drohen zudem besondere Risiken aufgrund der Natur der Produkte.
Spezifische Compliance-Risiken
Beim Thema Compliance geht es darum, Massnahmen zur Einhaltung der anwendbaren Rechtsvorschriften zu ergreifen und dadurch das Unternehmen vor Haftung zu schützen. Welche Vorschriften und Risiken dabei im Vordergrund stehen, hängt stark vom jeweiligen Tätigkeitsbereich ab. Besonders ausgeprägt sind industriespezifische Unterschiede auf der Ebene der angebotenen Produkte und Leistungen. So gelten für einen Anbieter von Cloudlösungen andere Regeln als für einen Hersteller von Chemikalien oder ein Zulieferunternehmen in der Automobilindustrie.
Daneben gibt es übergreifende Vorschriften, die unternehmensspezifische Umsetzungsmassnahmen erfordern. Zu denken ist hier namentlich an den Datenschutz, der mit dem 2018 erfolgten Inkrafttreten der EU-Datenschutzgrundverordnung und der laufenden Revision des Schweizer Datenschutzgesetzes erheblich an Bedeutung gewonnen hat und heute praktisch alle Tätigkeitsbereiche durchdringt. Relevant sind datenschutzrechtliche Vorgaben vor allem für digitale Geschäftsmodelle, sei es für digitale Plattformen, die datenbasierte Steuerung von Anlagen und Maschinen oder die Entwicklung neuer Produkte und Leistungen aufgrund von Nutzerdaten. In all diesen Konstellationen stellt sich die Frage, unter welchen Voraussetzungen und zu welchen konkreten Zwecken die Daten zur Verfügung gestellt wurden und von wem sicherzustellen ist, dass diese Vorgaben auch eingehalten werden.
Weiter unterliegen viele Hightech-Produkte Exportkontrollvorschriften, weil sie unter Umständen nicht nur für zivile, sondern auch für militärische Zwecke genutzt werden können. Neben klassischen Exportkontrollvorschriften haben in den letzten Jahren politisch motivierte Wirtschaftssanktionen an Bedeutung gewonnen. Damit soll gewissen Staaten oder Empfängern der Zugang zu sensitiven Technologien verwehrt werden. Derartige Beschränkungen bestehen gegenwärtig zum Beispiel im Verhältnis zu Russland, China und Iran, vor allem aufgrund von US-amerikanischen Sanktions- und Embargoregeln.
Komplexe US-Vorschriften
Gerade die US-Vorschriften sind äusserst komplex und beanspruchen extraterritoriale Geltung, sodass sie auch dann Anwendung auf Schweizer Unternehmen finden können, wenn in der Schweiz selbst keine vergleichbaren Beschränkungen erlassen wurden. Wie die Diskussionen um den Aufbau von 5G-Netzen illustrieren, haben Wirtschaftssanktionen im Zuge des zwischen den USA und China tobenden Handelskriegs erheblich an
Brisanz gewonnen.
Schweizer und europäische Unternehmen, die im Bereich Informations- und Kommunikationstechnologie aus Sicht der US-Regierung mit den falschen Partnern zusammenarbeiten, laufen schnell Gefahr, zwischen die Fronten zu geraten. Es kommt dazu, dass Wirtschaftssanktionen mit einem erheblichen Umgehungsrisiko verbunden sind und betroffene Unternehmen der Auswahl ihrer Geschäftspartner und der laufenden Überwachung von Waren- und Leistungsflüssen in diesem Bereich daher besondere Aufmerksamkeit schenken müssen.
Ein weiteres, stetig wachsendes Risiko betrifft das Thema Cybersicherheit. Im Finanzsektor sieht die Eidgenössische Finanzmarktaufsicht (Finma) Cyberattacken als das grösste operationelle Risiko. Wie zahlreiche Beispiele belegen – zu denken ist nur an den 2015 entdeckten Angriff auf Ruag oder an den 2019 erfolgten Angriff auf Walter Meier –, dürfte diese Einschätzung mittlerweile auch für viele Schweizer Industrie- und Technologieunternehmen zutreffen.
Mit Schadprogrammen wie Wanna Cry lassen sich nicht nur ganze Produktionsbetriebe, sondern die gesamte unternehmensinterne Kommunikation lahmlegen – mit verheerenden finanziellen Folgen und anhaltenden Auswirkungen auf die Reputation.
Der Abwehr von Cyberangriffen durch geeignete technische und organisatorische Massnahmen, aber auch der Entwicklung von Notfallplänen ist daher höchste Priorität zu schenken.
Dasselbe gilt für den Schutz des unternehmensinternen Know-hows, das einerseits im Zuge einer Cyberattacke, andererseits aber auch durch gezielten Diebstahl in Gefahr geraten kann. Hier geht es darum, Geschäftsgeheimnisse durch adäquate technische, organisatorische und rechtliche Massnahmen zu schützen, insbesondere durch gestufte und klar dokumentierte Zugriffsrechte.