Kreditkarten und Compliance

Stefan Haas

k_karten_1

Das Payment Card Industry Security Standards Council hat für den e-Commerce einen Sicherheits- und Compliancestandard definiert, der weltweit für alle am Bezahlprozess beteiligten Parteien gilt. Er trägt zu mehr Sicherheit bei Zahlungen mit Kreditkarten bei und stärkt zugleich das Kundenvertrauen.

 

PCI Standard V3.0

Der Payment Card Industry Data Security Standard, abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen diese Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Der Payment Card Industry Data Security Standard (PCI) basiert auf den nachfolgenden Programmen:

  • Visa-Account-Information-Security-Programm (AIS und CISP)
  • MasterCard-Site-Data-Protection-Programm (SDP)
  • American Express Security Operating Policy (DSOP)
  • Discover Information Security and Compliance (DISC) (Kreditkarte, die fast ausschließlich in den USA ausgegeben wird)
  • JCB (Japan Credit Bureau) Sicherheitsregeln (Kreditkarte, die fast ausschließlich in Japan ausgegeben wird)

Die aktuell gültige Version V3.0 des PCI-DSS ist vom Januar 2015 und steht bei der PCI Security Standards Council, LLC (Wakefield, MA USA) u.a. auch in Deutscher Sprache unter www.pcisecuritystandards.org kostenlos zum download bereit.

 

PCI – Studie 2015

Die Verizon Communications Inc. (Verizon) ist ein amerikanischer Telekommunikationskonzern, welcher im Zeitraum von 2012 bis 2014 als erstes Unternehmen weltweit bei den Fortune-500-Unternehmen (die 500 umsatzstärksten Unternehmen der Welt) sowie bei großen multinationalen Konzernen in mehr als 30 Ländern eine Studie zum Thema PCI und Compliance durchgeführt hat.

Nachfolgend werden nun einige Keynotes der Studie vorgestellt, um das durch globale Cyberangriffe immer wichtiger werdende Thema IT-Sicherheit und Compliance zu betrachten.

 

Compliance und PCI – Umsetzung im Unternehmen

Fast 80 Prozent der Unternehmen fallen durch die Interimsbewertung ihrer PCI-Compliance und sind damit anfällig für Cyberangriffe.

Mittlerweile werden über zwei Drittel der Einkäufe per Zahlungskarte beglichen. Der Umsatz mit Kreditkarten wird 2015 schätzungsweise 20 Billionen US-Dollar überschreiten. Sicherheit ist für Organisationen, die Transaktionen mit Kreditkarten vornehmen, daher so wichtig wie nie zuvor.

sicherheitsvorfaelle1
Basis: 9.700 Unternehmen weltweit aus allen Branchen
Quelle: Verizon 2015 PCI Compliance Report
Grafik: WIRTSCHAFTScampus

Betrachtet man hier den Anstieg von Vorfällen im Bereich der Datenkriminalität und Cyberangriffen in Bezug auf die letzten Jahre, so zeigt sich deutlich der Anstieg von 66 % dieser Delikte zwischen 2010 und 2014.

 

Compliance und PCI – Warum?

Verbraucher erwarten heute von einem Unternehmen eine sowohl nach innen ins Unternehmen als auch nach außen zur Transparenz und Imagegestaltung gegenüber Kunden kommunizierte Compliance. Scheitert diese Kundenbindung, so wird es jetzt und in der Zukunft immer wichtiger und zugleich schwieriger, den Kunden an das Unternehmen zu binden, um erfolgreich weiter auf dem Markt zu bestehen.

Mit der enormen Zunahme der Schnelligkeit von weltweiten Nachrichten und dem Transfer von globalen Informationen im Hinblick auf Kartenmissbrauch und Cyberattacken beschäftigt sich der Verbraucher heute viel schneller mit der Thematik Datendiebstahl und Datenmissbrauch als noch vor einigen Jahren.

kreditkartenbetrug-schaden
Quelle: „The global cost of payment fraud“, BI Intelligence, 2014
Grafik: WIRTSCHAFTScampus

Durch die Reduzierung der Wahrscheinlichkeit eines Datendiebstahls, können Unternehmen ihre Marke besser kommunizieren, das Vertrauen der Verbraucher absichern und mögliche hohe Gebühren durch aufgedeckten Datenmissbrauch vermeiden. Tatsächlich neigen 69 % aller Verbraucher dazu, mit Unternehmen, bei denen eine Verletzung der Datensicherheit vorliegt, weniger häufig Handel zu treiben.

k_karten_2

Compliance und Mobile Payment

Mobile Payment ist weltweit auf dem Vormarsch. Nur die deutschen Bundesbürger bleiben ihrem liebsten Zahlungsmittel treu: dem Bargeld. Wie die Berechnungen der Deutschen Bundesbank im Jahr 2011 ergaben, nutzten die Bundesbürger bei mehr als 80 % aller Zahlungstransaktionen Bargeld. Dies war vor allem dann der Fall, wenn nur kleine Beträge bezahlt werden sollen. Wertmäßig hingegen lag das genutzte Bargeld nur auf 53 % und damit um einiges niedriger.

In anderen Ländern, wie Schweden und Finnland, verliert das Bargeld im Zahlungsverkehr zunehmend an Bedeutung. Das mobile Bezahlen ist dort längst im Alltag angekommen. In einigen schwedischen Bankfilialen gibt es zum Beispiel mittlerweile nicht einmal mehr Bargeld.

Aktuelle Zahlen liegen leider momentan nur aus den USA vor, da die deutsche Bundesbank erst Mitte 2015 aktuelle Zahlen veröffentlichen wird, doch setzt man diese als Trend an, so zeigt sich auch hier eine deutliche Verschiebung des Verbraucherverhaltens, da 2011 in der Bundesbankstudie Zahlungsinstrumentarien, wie PayPal, ApplePay oder auch die verstärkte Verbreitung des Onlinebankverkehrs, durch die aggressive Werbung der Kreditinstitute kaum oder gar nicht berücksichtigt wurden.

Auch in diesem Bereich und in dem ausgerufenen „War of Cash“ ist es für jedes Unternehmen wichtig, seine Sicherungsstandards im Hinblick auf das Segment Compliance und Kundensicherheit deutlich in den Vordergrund zu stellen. Für die heranwachsende Zielgruppe und die gleichzeitige Selbstverständlichkeit der Internetnutzung, ob nun mit Tablets oder Smartphones, kündigt sich hier eine, vor allem schnelle Veränderung der Zahlungsmethoden durch den Verbraucher an (2011 – Nutzung Smartphone in Deutschland 18 % gegenüber 2014 = 54 % lt. Studie Bundesverband Digitaler Wirtschaft in 2014).


* elektronische Zahlungsmethoden, z.B. PayPal
Quelle: The Nilson Report, Mai 2014
Grafik: WIRTSCHAFTScampus

 

Compliance und PCI – Perspektiven

Der Bericht lässt einen weiteren, besorgniserregenden Trend erkennen: Der Umfang und das Ausmaß der Datenverletzungen der vergangenen zwölf Monate ist der Beweis, dass aktuelle Sicherheits-Techniken die Angreifer nicht stoppen und in vielen Fällen nicht einmal behindern. PCI-DSS-Compliance muss als Bestandteil einer umfassenden Informationssicherheits- und Risikomanagement-Strategie gesehen werden. Eine PCI-DSS-Prüfung kann eklatante Sicherheitslücken aufdecken, die es zu schließen gilt.

Weitere Thematiken und ausführliche Informationen sowie die komplette Studie finden Sie auf der Webseite von Verizon unter www.verizonenterprise.com.

Quellenangaben:

Veröffentlichung: PCI Compliance Report 2015 von Verizon, März 2015
Veröffentlichung: „Faszination Mobile Verbreitung, Nutzungsmuster und Trends“, Bundesverband Digitale Wirtschaft, 2014
Veröffentlichung: All about Security, März 2015
Veröffentlichung: The Nilson Report, Mai 2014
Veröffentlichung: „The global cost of payment fraud“, BI Intelligence, 2014

Kartellrecht und Compliance

Stefan Haas

kartell_1

Wir freuen uns, Ihnen den ersten Beitrag im „Compliance focus“ zum Thema Kartellrecht zu präsentieren. Weitere Artikel zu verschiedenen Themen aus dem Bereich Compliance werden zukünftig folgen.

Unter Einbeziehung der Studie „Wie Compliance-Maßnahmen Kartellrechtsverstöße verhindern und zum Unternehmenserfolg beitragen können“ der Justus-Liebig-Universität Gießen aus dem Jahr 2014 möchten wir Ihnen einige Aspekte im Hinblick auf Compliance und Kartellrechtsverstöße näher darstellen.

 

Kartellrechts-Compliance

Kartelle und Fusionen sind für Unternehmen offenbar so interessant, weil sie den lästigen Wettbewerb verhindern. Allerdings gehen die beteiligten Manager hohe Risiken ein und gefährden ihre Firmen. Kaum ein Monat vergeht, in dem nicht neue Meldungen über illegale Preisabsprachen zulasten der Kunden oder des Unternehmens bekannt werden. Im Jahr 2013 verhängte das Deutsche Kartellamt Bußgelder in Höhe von:

  • 338 Mio. Euro gegen Wursthersteller
  • 338 Mio. Euro gegen Bierbrauer
  • 280 Mio. Euro gegen Zuckerhersteller
  • 250 Mio. Euro gegen Flüssiggasunternehmen
  • 232 Mio. Euro gegen Schienenhersteller

Quelle: Publikation: „Erfolgreicher Einsatz für Wirtschaft und Verbraucher“ / Bundeskartellamt Juli 2014

 

Aktuell muss ein Manager seinem Ex-Unternehmen nicht das Bußgeld ersetzen, das die Kartellbehörde wegen Preisabsprachen verhängt hatte.

Die Klage von Thyssen-Krupp gegen einen ehemaligen Mitarbeiter zählt vermutlich zu den höchsten Schadensersatzforderungen, die ein Unternehmen vor einem deutschen Arbeitsgericht verlangt hatte. Mit dem größten Teil der 291-Millionen-Euro-Klage ist der Konzern jedoch in zweiter Instanz gescheitert.

Das Bußgeld, welches das Bundeskartellamt gegenüber einer Gesellschaft des Thyssen-Krupp-Konzerns verhängt hatte, ist vom ehemaligen Mitarbeiter grundsätzlich nicht zu verlangen. Das entschied nun das Landesarbeitsgericht Düsseldorf (LAG) Ende Januar 2015 und wies die Klage über stolze 191 Millionen Euro ab. Eine Entscheidung zu weiteren 100 Millionen Euro steht aber noch aus.

Dies zeigt überaus deutlich Sinn und Nutzen eines Compliance Management Systems (CMS) mit der unbedingten Integration von kartellrechtlichen Grundzügen und Leitlinien.

 

Gründe zur Einführung eines Compliance Management Systems (CMS)

Ein klarer und anhaltender Trend zur Einführung von Compliance Management Systemen (CMS) zeichnet sich seit dem Jahr 2005 ab. Dabei lassen sich fünf Gründe zur Einführung eines CMS identifizieren:

  • Durch CMS soll die Unternehmensreputation gegenüber einer Vielzahl von Stakeholdern (z.B. Kapitalgeber, Arbeitnehmer, Kunden, Politik) verbessert werden.
  • Die Notwendigkeit zur Einführung wird aus gesetzlichen und politischen Anforderungen abgeleitet (z.B. Corporate Governance Codices, börsen- und kapitalmarktrechtliche Vorschriften, Strafgesetze, z.B. zur Korruptionsvermeidung, branchenspezifische Regelungen, z.B. im Bankensektor).
  • Einzelne rechtlich selbständige Tochtergesellschaften führen CMS im Rahmen einer allgemeinen Konzernstrategie v.a. bei einer Vorgabe durch börsennotierte Muttergesellschaften ein.
  • Auch die Vermeidung von Haftungsrisiken für Vorstandsmitglieder stellt eine entscheidende Motivation für die Einführung von CMS dar.
  • Möglicherweise ist auch ein allgemeiner Trend zur Einführung von CMS erkennbar. Eigene Verstöße gegen (kartell-)rechtliche Vorgaben stellen häufig einen

 

CMS vs. Kartellrechts-Compliance

Die Studie zeigt auf, dass das Vorhandensein eines CMS nicht gleichbedeutend mit Maßnahmen der kartellrechtlichen Compliance (z.B. Risikoidentifikation, -beurteilung und -eindämmung) ist. So werden entsprechende Maßnahmen mitunter durchgeführt, ohne sie in ein größeres Compliance-Programm einzuordnen.

Andererseits führen Unternehmen trotz des Vorhandenseins eines CMS nicht notwendigerweise kartellrechtliche Compliance-Maßnahmen durch. Dies legt nahe, dass das bloße Vorhandensein eines CMS nicht zwangsläufig aussagekräftig hinsichtlich seiner Wirksamkeit zur Prävention von Verstößen in einzelnen Rechtsbereichen ist.

 

Kartellrechts-Compliance im Unternehmen

In der Studie zeigt sich, dass zwar rund 80% der Unternehmen angeben, Maßnahmen zur Risikoidentifikation und Risikoeindämmung durchzuführen. Allerdings werden einige wesentliche Risikofaktoren für Verstöße gegen das Kartellverbot entweder als wenig relevant erachtet, oder sie sind noch nicht in das Blickfeld der Unternehmen geraten.

So sehen zwar mehr als 80% der Befragten eine unzureichende Kenntnis kartellrechtlicher Vorschriften als Risikofaktor an. Nachfrage- oder Gewinnänderungen, Markteintritte oder Importkonkurrenz werden jedoch nur von weniger als 40% der Befragten zu den Risikofaktoren gezählt.

geldstrafen_statistik

kartell_2

Gefahrenfaktor Mitarbeiter

Betrachtet man die Faktoren näher, die von den befragten Unternehmen als Risiko für Verstöße gegen das Kartellverbot identifiziert wurden, so ist vor allem eine mangelhafte Information der Mitarbeiter zu nennen. Mehr als 80% der Teilnehmer führen fehlendes Wissen von Mitarbeitern über das Kartellrecht sowie die Konsequenzen von Verstößen oder eine Unterschätzung der Aufdeckungswahrscheinlichkeit durch Wettbewerbsbehörden als Risikofaktoren an. Weitere Risikofaktoren wie

  • Änderungen im Bereich Angebot und Nachfrage
  • Änderungen im Betriebsumfeld
  • Änderungen im direkten Konkurrenzumfeld
  • Änderungen im Bereich Import / Export
  • Änderungen im Bereich Umsatz und Gewinn

werden als teils deutlich schwächer eingeschätzt.

Allein Insolvenzrisiken wird von 50% der Studienteilnehmer eine Bedeutung als Risikofaktor beigemessen. Betrachtet man die praxisorientierten Compliance-Risiken, so zeigt sich ein deutlicher Nachholbedarf im Hinblick auf eine Verbesserung bestehender oder zukünftiger Compliance-Schulung im Unternehmen.

Genau dies gilt auch bei der Definition im Segment der Mitarbeiterführung und bei der Zielsetzung interner Zielvorgaben für die Mitarbeiter. 75% der Befragungsteilnehmer sehen ein Risiko für Verstöße gegen das Kartellverbot auch im Bestehen von ambitionierten Zielvorgaben (z.B. Absatz-, Umsatz- oder Gewinnziele) durch die Geschäftsführung. Es zeigt sich deutlich, dass hier die Geschäftsführung oder der Aufsichtsrat durch den Tone of the Top den Mitarbeitern ein regelkonformes Compliance im täglichen Aufgabenbereich vermitteln muss.

 

Risikobekämpfung

Die Mehrheit der Unternehmen, die über ein kartellrechtliches CMS verfügen, gaben an, aktiv nach kartellrechtswidrigem Verhalten zu suchen (73%; z.B. interne Revision) und solche Verhaltensweisen zu sanktionieren (88%; z.B. Abmahnung oder Kündigung). Eine genauere Analyse zeigt jedoch, dass die Sanktionsmaßnahmen mitunter sehr vielfältig und wenig formalisiert sind, wodurch ihre Abschreckungswirkung reduziert wird.

Gleichermaßen zeigt sich eine große Maßnahmenvielfalt bei der aktiven Suche von Gefahrenfaktoren. Diese kann eigenständig durchgeführt werden oder in andere Audits integriert sein. Eine Untersuchung kann anlassbezogen oder regelmäßig, überraschend oder zu bekannten Zeitpunkten erfolgen.

Auch die Komponenten der Prüfungen im Bereich Compliance und Kartellrecht, wie die Überprüfung von Verträgen oder Protokollen, oder Gespräche mit den einzelnen Mitarbeitern verschiedener Abteilungen, sind sehr vielfältig. In diesem Zusammenhang zeigt sich deutlich ein Bedarf, best practices zu identifizieren, um unternehmensintern sowohl die Aufdeckung als auch die Sanktionierung weiter zu systematisieren.

kartell_urteile_statistik

 

Korruptionsbekämpfung

Deutschland hatte bislang nicht die Anti-Korruptions-Initiative der UNO unterstützt. Nun wird aktuell die Korruptionsbekämpfung verstärkt. Am 21.01.2015 hat die Bundesregierung den vom Bundesministerium der Justiz und für Verbraucherschutz vorgelegten Entwurf eines Gesetzes zur Bekämpfung der Korruption beschlossen. Es handelt sich um ein Artikelgesetz, mit dem im Wesentlichen das Strafgesetzbuch geändert wird.

Erweitert wird die Strafbarkeit der Bestechlichkeit und Bestechung im geschäftlichen Verkehr (§ 299 StGB). Bisher war strafbar, wenn mit der Bestechung eine unlautere Bevorzugung im Wettbewerb erkauft werden sollte. Nun sind auch die Fälle strafbar, in denen keine Wettbewerbsverzerrung eingetreten ist, sondern eine Verletzung der Pflichten gegenüber dem Geschäftsherrn vorliegt.

 

Umsetzung in der Praxis

Die hier dargestellten Gefahren und Problematiken im Segment Kartellrechts-Compliance weisen auf die Existenz von Effektivitätspotentialen in der Ausgestaltung des internen CMS hin. Hier sollten in der Zukunft die folgenden Punkte und Maßnahmen noch deutlich stärkere Beachtung finden:

  • Risikofaktoren im Wettbewerbsumfeld
  • Diskussion der Entscheidungszentralisierung
  • Konkretisierung und Kommunikation der Sanktionsmaßnahmen
  • Identifikation von best practices bei der aktiven Suche nach Verstößen

 

Conclusion

Betrachtet man die sich gerade in den letzten Jahren durch die Nutzung des Internets geänderte und globale Arbeitsweise innerhalb der Unternehmen, so ist die Einführung und Entwicklung der spezifischen Instrumentarien im Segment Compliance und Kartellrecht eine Herausforderung für jedes Unternehmen, gleich welcher Branche oder Unternehmensgröße.

Auch das Argument, ein Compliance Management System (CMS) erhöhe die Unternehmensreputation, ist für jedes Unternehmen im Hinblick auf den zukünftigen Erfolg und die Positionierung am Markt von höchster Relevanz. Hier stellt sich die Frage, gegenüber welchen Zielgruppen (z.B. Kapitalgebern, Arbeitnehmern, Kunden) die Reputation erhöht werden soll, aus welchen Informationsunvollkommenheiten sich der Bedarf eines solchen Qualitätssignals speist, und wie ein solches Signal im Idealfall aussehen sollte.

Hinsichtlich einzelner Kundengruppen (private Abnehmer, mittlere Geschäftskunden, Großkunden) und Absatzmodi (Einzelhandel, Großhandel oder Ausschreibungen) sollte jedes Unternehmen für sich individuell analysieren, wie wichtig solche Reputationssignale generell sind, und wie sie bestmöglich, zum Beispiel durch eine Zertifizierung, nach außen hin dargestellt werden können.

Quellenangaben:

Veröffentlichung: „Erfolgreicher Einsatz für Wirtschaft und Verbraucher“ / Bundeskartellamt Juli 2014
Veröffentlichung: „Wie Compliance-Maßnahmen Kartellrechtsverstöße verhindern und zum Unternehmenserfolg beitragen können“ / Justus-Liebig-Universität Gießen 2014 (Prof. Dr. Georg Götz, Daniel Herold, M.Sc. Dr. Johannes Paha)
Grafiken: Statistische Angaben zum Kartellrecht / Europäische Kommission, Brüssel Dezember 2014