Korrekte Spielabwicklung, ein gelebtes Anti-Geldwäsche-Management, hohe Datenschutzcompli-ance sowie höchste Sicherheitsstandards für alle Spielteilnehmerinnen und -teilnehmer: DieseVoraussetzungen sind für konzessionierte Glücksspielunternehmen unabdingbar. Darum spieltCompliance in der Geschäftstätigkeit der Casinos Austria und Österreichische Lotterien Unterneh-mensgruppe eine zentrale Rolle und ist der Code of Conduct das Fundament für unser Handeln.2020 lag aus Sicht der Compliance eine besondere Herausforderung darin, auch in dieser Situati-on die Einhaltung der rechtlichen und internen Vorgaben sicherzustellen. Es hat sich gezeigt,dass dies aufgrund der Vorarbeiten der letzten Jahre gelungen ist. Einmal mehr haben sich dieInvestitionen in Prävention und systematische Ansätze bewährt.
Die regelmäßig geprüften Säulen der Compliance sind:
-Compliance Management inklusive Anti-Geldwäsche (ISO 19600, ISO 37001)
Die Weiterentwicklung des Compliance-Managements ist unserer Unternehmensgruppe ein be-sonderes Anliegen. Die gesetzten Ziele helfen dabei, das hohe Niveau der Managementsystemeweiterhin sicherzustellen und weitere Verbesserungen herbeizuführen.
In Anlehnung an den Österreichischen Corporate Governance Kodex (ÖCGK) versteht die CasinosAustria und Österreichische Lotterien Unternehmensgruppe unter Compliance nicht nur die Ein-haltung gesetzlicher Bestimmungen und regulatorischer Standards, sondern auch die Erfüllungvon ethischen Anforderungen und Standards. Dabei beinhaltet Compliance vor allem auch dieSchaffung organisatorischer Vorkehrungen und Abläufe, um die Einhaltung der Vorgabensicherzustellen.
Compliance ist für die Unternehmensgruppe ein nachvollziehbares und für alle Mitarbeiterinnenund Mitarbeiter verbindlich gültiges, unmissverständliches Regelwerk. Aus diesem Grund betrei-ben wir ein systematisch aufgebautes, nachvollziehbares und periodisch geprüftes Compliance-Management-System. Dies beinhaltet einerseits vorbeugende Maßnahmen, zum Beispiel die Auf-klärung, Information und Schulung von Mitarbeiterinnen und Mitarbeitern, aber auch die Sicher-stellung der Überwachung unternehmensinterner Vorgänge. Die Abteilung Compliance unter-stützt und berät die Organisationseinheiten bei der Umsetzung rechtlicher Vorgaben bzw. bei derBeurteilung diesbezüglicher Fragen zu den Themenbereichen. Darüber hinaus wird durch regel-mäßige Risikoanalysen das Compliance Risiko-Bewusstsein verstärkt.
Schwerpunktthemen der Compliance
Compliance und Anti-Geldwäsche:
Grundsätze und Maßnahmen, die auf die Sicherstellung eines regelkonformen Verhaltens des Un-ternehmens und seiner Mitarbeiterinnen und Mitarbeiter sowie gegebenenfalls Dritter in Hinsichtauf die Einhaltung von Antikorruptionsbestimmungen abzielen, sind definiert und werden syste-matisch sichergestellt. Im Rahmen eines geprüften Managementsystems zur Geldwäsche-undKriminalitätsvorbeugung werden laufend Geldwäscherisiken bewertet und regelmäßige Anti-Geld-wäsche-Schulungen abgehalten. Die Unternehmensgruppe arbeitet in diesem Umfeld eng mit derGeldwäschemeldestelle im Bundeskriminalamt (FIU) zusammen.
Datenschutz und Informationssicherheit:
Die Wirksamkeit des seit mehr als zehn Jahren etablierten Datenschutzmanagementsystems derUnternehmensgruppe wird durch regelmäßige interne und externe Audits nachweislich bestätigt.Der Schutz der Kunden- und Gästedaten, aber auch die personenbezogenen Daten aller Mitarbei-terinnen und Mitarbeiter und die Sicherstellung der Erfüllung der Betroffenenrechte stehen imMittelpunkt der Bemühungen um die Datenschutzcompliance. Ein gelebtes Datenschutzmanage-ment ist dafür zentral. Datenschutzkoordinatoren als Experten der Datenverarbeitung in den je-weiligen Unternehmensbereichen fungieren als wichtige Schnittstelle zwischen dem Datenschutz-beauftragten und den Bereichen.
Informationssicherheit dient durch die Minimierung von Risiken dem Schutz vor Bedrohungen derVertraulichkeit, der Verfügbarkeit und Integrität von Information und damit der Vermeidung vonwirtschaftlichen Schäden. Informationssicherheit stellt damit auch eine wesentliche Vorausset-zung für die Sicherstellung der gesetzlichen Anforderungen an den Datenschutz dar. Der Bran-chenstandard der World Lottery Association (WLA-SCS) formuliert zudem lotteriespezifische An-forderungen, die im Informationssicherheitsmanagementsystem adressiert werden.
Die internen und seit vielen Jahren installierten übergreifenden Security-Committees sowie dasProcess & Project Board fördern eine optimale übergreifende Abstimmung zu Themen der Infor-mationssicherheit und des Datenschutzes.
Responsible Gaming
Die Ausbildung unserer Mitarbeiterinnen und Mitarbeiter sowie ein Bündel an organisatorischenund technischen Maßnahmen soll die Umsetzung der gesetzlichen sowie der innerbetrieblichenAnforderungen sicherstellen.
Es werden internationale Standards verwendet, um bewährte Methoden effizient in der Unter-nehmensgruppe einzusetzen. Die Konformität mit den Standards wird durch
GoodPriv@cy ist ein Datenschutzgütesiegel. Es wird für die vorbildliche Umsetzung des Daten-schutzes und der damit verbundenen Informationssicherheit vergeben. Vorrangiges Ziel vonGoodPriv@cy ist es, das Vertrauen der Öffentlichkeit in die Einhaltung des Datenschutzes durchden Nutzer des Datenschutzgütesiegels zu stärken. Das SQS-Zertifikat GoodPriv@cy ist interna-tional anerkannt. Die jährliche GoodPriv@cy-Prüfung des Datenschutzmanagementsystems durchSQS erfolgte im Mai 2020. Neben dem Sitz der Casinos Austria AG, der Österreichischen Lotteri-en Gesellschaft m.b.H. und der Casinos Austria Sicherheitstechnik GmbH wurden die CasinosSalzburg und Zell am See erfolgreich auditiert.
Erneut wurde die Casinos Austria AG nach der aktuellen Norm ISO 9001:2015 erfolgreich audi-tiert. Qualitätsmanagement stellt eine wichtige Säule für alle Abläufe im Unternehmen dar.
Das Informationssicherheitsmanagementsystem wurde auch 2020 extern auditiert und die Zerti-fikate ISO 27001:2013 und WLA-SCS:2016 aufrechterhalten.
Im Pandemiejahr 2020 war es besonders wichtig, auf die Risiken und Gefahren im Bereich E-Mail- und Internetsicherheit sowie Social Engineering hinzuweisen und die Awareness diesbezüg-lich zu steigern. Durch die enge Verflechtung mit dem Thema Datenschutz wirken bewusstseins-bildende Maßnahmen diesbezüglich doppelt und werden auch durch die gemeinsame organisato-rische Verortung dieser beiden Themen in der Abteilung Compliance optimal aufeinander abge-stimmt. Die fortschrittliche und sichere IT-Infrastruktur, die von hochkompetenten Mitarbeiterin-nen und Mitarbeitern der unternehmensinternen IT gestaltet bzw. betreut wird, ermöglichte es,den Bürobetrieb innerhalb kürzester Zeit auf Homeoffice-Betrieb umzustellen – durch das bereitsjahrelang aufgebaute hohe Bewusstsein bei den Mitarbeiterinnen und Mitarbeitern für Daten-schutz und Informationssicherheit konnten und können die mit der Arbeit im Homeoffice verbun-denen Informationssicherheitsrisiken stark reduziert werden.
Hinweisgebersystem
Gesetzliche und interne Regelungen einzuhalten hat in unserer Unternehmensgruppe höchstePriorität. Nur wenn diese Regelungen eingehalten werden, können wir Schaden von unserem Un-ternehmen, unseren Gästen sowie Kundinnen und Kunden, unseren Beschäftigten und unserenGeschäftspartnern abwenden. Fehlverhalten muss daher frühzeitig erkannt, aufgearbeitet undunverzüglich abgestellt werden.
Unser Hinweisgebersystem ist für Hinweise auf schwere Regel- und Rechtsverstöße eingerichtet.Darunter werden jene Verstöße verstanden, die (finanzielle) Interessen unseres Unternehmens inschwerwiegender Weise beeinträchtigen und zu hohen Reputationsschäden führen können. ImRahmen eines fairen und transparenten Verfahrens schützt das Hinweisgebersystem das Unter-nehmen, die Betroffenen und die Hinweisgebenden.
Das Hinweisgebersystem der Casinos Austria und Österreichische Lotterien Unternehmengruppeist bereits seit 2018 für interne und externe Hinweisgeberinnen und Hinweisgeber verfügbar undonline über die Adresse bkms-system.net/cal erreichbar. Damit wird der Whistleblower-Richtlinie(EU 2019/1937) in der Unternehmensgruppe schon seit mehreren Jahren Rechnung getragen.
Erneute erfolgreiche Compliance-Rezertifizierung nach ISO 19600 sowie ISO 37001
Der ISO-Standard 19600 ist eine internationale Norm und beinhaltet Richtlinien für den Einsatzvon Compliance-Management-Systemen. Derartige Systeme helfen, die Risiken regelwidrigenVerhaltens zu erkennen, zu verstehen und richtig darauf zu reagieren. Zentrales Element desCompliance-Managements nach ISO 19600 ist die Risikobewertung. Die Risiken werden nach derWahrscheinlichkeit ihres Eintretens gewichtet und priorisiert. Gegen die größten der identifizier-ten Compliance-Risiken sind entsprechende Maßnahmen zu ergreifen. Dabei widmet sich derISO-Standard auch den Rollen und Verantwortlichkeiten der handelnden Personen.
Der ISO-Standard 37001 ist ein praktikables Tool für Organisationen, um die eigene aktuelle Ri-sikosituation kritisch zu analysieren und angemessene Maßnahmen gegen Korruption in beste-hende Strukturen und Prozesse zu integrieren. Wie alle Managementsystemstandards basiertauch ISO 37001 auf dem sogenannten High Level Standard Framework. Dadurch lässt er sicheinfach in ein bestehendes Compliance-Management-System nach ISO 19600 integrieren. Auch2020 wurden Casinos Austria und die Österreichischen Lotterien als weltweit einzige Glücksspiel-anbieter nach den ISO-Standards 19600 und 37001 geprüft und erfolgreich zertifiziert.
verlängert auf2020
geplant 2020
verlängert bis 2021
verlängert bis 2019
Status 2019
umgesetzt
geplant 2020:Erweiterungdes Complian-ce-Checks
auf CAI
umgesetzt
Compliance-Schulung von 95 % derMitarbeiterinnen und Mitarbeiter derZentrale
geplant 2020
geplant 2020
wird im Laufe
2021 abgelöst
geplant 2019
umgesetzt 2018
Evaluierung effektiverer Methoden beiderCompliance-Prüfung von Sponso-ring-Aktivitäten
umgesetzt
geplant 202-0
Evaluierung der strukturierten Erfas-sung von Stakeholder-Einladungen insCompliance-Check-Tool
teilweise umgesetzt
geplant 2020
geplant 2020
-
-
Ablösung des Compliance- Risiko- undChancen analysetools
teilweise umgesetzt
Ablösung des Tools für das Verzeichnisder Verarbeitungstätigkeiten
neuer
Review 2020
geplant 2020
Erstellung von internen Umfragen,
mit denen der Wissensstand über die
Vorgaben abgefragt werden kann
Erneuerung und Erweiterung derKommunikationsmaßnahmen zuCompliance-Themen
-
-
Status 2020
Compliance-Schulung von 95 % derVerantwortlichen in den Betrieben
Status 2018
teilweise umgesetzt
geplant 2020
geplant 2020
Review des Compliance- Risiko- und
Chancenanalysetools
ausgesetzt
geplant 2020
Dokumentation aller Compliance-Schulungsaktivitäten über die un-ternehmensweite Lernplattform