Unsere Verantwortung

Korrekt auf allen Ebenen

Korrekte Spielabwicklung, ein gelebtes Anti-Geldwäsche-Management, hohe Datenschutzcompli- ance sowie höchste Sicherheitsstandards für alle Spielteilnehmerinnen und -teilnehmer: Diese Voraussetzungen sind für konzessionierte Glücksspielunternehmen unabdingbar. Darum spielt Compliance in der Geschäftstätigkeit der Casinos Austria und Österreichische Lotterien Unterneh- mensgruppe eine zentrale Rolle und ist der Code of Conduct das Fundament für unser Handeln. 2020 lag aus Sicht der Compliance eine besondere Herausforderung darin, auch in dieser Situati- on die Einhaltung der rechtlichen und internen Vorgaben sicherzustellen. Es hat sich gezeigt, dass dies aufgrund der Vorarbeiten der letzten Jahre gelungen ist. Einmal mehr haben sich die Investitionen in Prävention und systematische Ansätze bewährt.


Die regelmäßig geprüften Säulen der Compliance sind:


-Compliance Management inklusive Anti-Geldwäsche (ISO 19600, ISO 37001)

-Informationssicherheit (ISO/IEC 27001:2013; WLA-SCS: 2016)

-Datenschutz (GoodPriv@cy:2018)

-Qualitätsmanagement (ISO 9001:2015)


Die Weiterentwicklung des Compliance-Managements ist unserer Unternehmensgruppe ein be- sonderes Anliegen. Die gesetzten Ziele helfen dabei, das hohe Niveau der Managementsysteme weiterhin sicherzustellen und weitere Verbesserungen herbeizuführen.


COMPLIANCE


In Anlehnung an den Österreichischen Corporate Governance Kodex (ÖCGK) versteht die Casinos Austria und Österreichische Lotterien Unternehmensgruppe unter Compliance nicht nur die Ein- haltung gesetzlicher Bestimmungen und regulatorischer Standards, sondern auch die Erfüllung von ethischen Anforderungen und Standards. Dabei beinhaltet Compliance vor allem auch die Schaffung organisatorischer Vorkehrungen und Abläufe, um die Einhaltung der Vorgaben sicherzustellen.


Compliance ist für die Unternehmensgruppe ein nachvollziehbares und für alle Mitarbeiterinnen und Mitarbeiter verbindlich gültiges, unmissverständliches Regelwerk. Aus diesem Grund betrei- ben wir ein systematisch aufgebautes, nachvollziehbares und periodisch geprüftes Compliance- Management-System. Dies beinhaltet einerseits vorbeugende Maßnahmen, zum Beispiel die Auf- klärung, Information und Schulung von Mitarbeiterinnen und Mitarbeitern, aber auch die Sicher- stellung der Überwachung unternehmensinterner Vorgänge. Die Abteilung Compliance unter- stützt und berät die Organisationseinheiten bei der Umsetzung rechtlicher Vorgaben bzw. bei der Beurteilung diesbezüglicher Fragen zu den Themenbereichen. Darüber hinaus wird durch regel- mäßige Risikoanalysen das Compliance Risiko-Bewusstsein verstärkt.

Schwerpunktthemen der Compliance

Compliance und Anti-Geldwäsche:

Grundsätze und Maßnahmen, die auf die Sicherstellung eines regelkonformen Verhaltens des Un- ternehmens und seiner Mitarbeiterinnen und Mitarbeiter sowie gegebenenfalls Dritter in Hinsicht auf die Einhaltung von Antikorruptionsbestimmungen abzielen, sind definiert und werden syste- matisch sichergestellt. Im Rahmen eines geprüften Managementsystems zur Geldwäsche-und Kriminalitätsvorbeugung werden laufend Geldwäscherisiken bewertet und regelmäßige Anti-Geld- wäsche-Schulungen abgehalten. Die Unternehmensgruppe arbeitet in diesem Umfeld eng mit der Geldwäschemeldestelle im Bundeskriminalamt (FIU) zusammen.


Datenschutz und Informationssicherheit:

Die Wirksamkeit des seit mehr als zehn Jahren etablierten Datenschutzmanagementsystems der Unternehmensgruppe wird durch regelmäßige interne und externe Audits nachweislich bestätigt. Der Schutz der Kunden- und Gästedaten, aber auch die personenbezogenen Daten aller Mitarbei- terinnen und Mitarbeiter und die Sicherstellung der Erfüllung der Betroffenenrechte stehen im Mittelpunkt der Bemühungen um die Datenschutzcompliance. Ein gelebtes Datenschutzmanage- ment ist dafür zentral. Datenschutzkoordinatoren als Experten der Datenverarbeitung in den je- weiligen Unternehmensbereichen fungieren als wichtige Schnittstelle zwischen dem Datenschutz- beauftragten und den Bereichen.

Informationssicherheit dient durch die Minimierung von Risiken dem Schutz vor Bedrohungen der Vertraulichkeit, der Verfügbarkeit und Integrität von Information und damit der Vermeidung von wirtschaftlichen Schäden. Informationssicherheit stellt damit auch eine wesentliche Vorausset- zung für die Sicherstellung der gesetzlichen Anforderungen an den Datenschutz dar. Der Bran- chenstandard der World Lottery Association (WLA-SCS) formuliert zudem lotteriespezifische An- forderungen, die im Informationssicherheitsmanagementsystem adressiert werden.


Die internen und seit vielen Jahren installierten übergreifenden Security-Committees sowie das Process & Project Board fördern eine optimale übergreifende Abstimmung zu Themen der Infor- mationssicherheit und des Datenschutzes.


Responsible Gaming

Die Ausbildung unserer Mitarbeiterinnen und Mitarbeiter sowie ein Bündel an organisatorischen und technischen Maßnahmen soll die Umsetzung der gesetzlichen sowie der innerbetrieblichen Anforderungen sicherstellen.


Es werden internationale Standards verwendet, um bewährte Methoden effizient in der Unter- nehmensgruppe einzusetzen. Die Konformität mit den Standards wird durch

interne und externe Auditoren überprüft


Datenschutzmanagement – erfolgreiches Aufrechterhaltungsaudit

GoodPriv@cy ist ein Datenschutzgütesiegel. Es wird für die vorbildliche Umsetzung des Daten- schutzes und der damit verbundenen Informationssicherheit vergeben. Vorrangiges Ziel von GoodPriv@cy ist es, das Vertrauen der Öffentlichkeit in die Einhaltung des Datenschutzes durch den Nutzer des Datenschutzgütesiegels zu stärken. Das SQS-Zertifikat GoodPriv@cy ist interna- tional anerkannt. Die jährliche GoodPriv@cy-Prüfung des Datenschutzmanagementsystems durch SQS erfolgte im Mai 2020. Neben dem Sitz der Casinos Austria AG, der Österreichischen Lotteri- en Gesellschaft m.b.H. und der Casinos Austria Sicherheitstechnik GmbH wurden die Casinos Salzburg und Zell am See erfolgreich auditiert.


Qualitätsmanagement – erfolgreiches Aufrechterhaltungsaudit

Erneut wurde die Casinos Austria AG nach der aktuellen Norm ISO 9001:2015 erfolgreich audi- tiert. Qualitätsmanagement stellt eine wichtige Säule für alle Abläufe im Unternehmen dar.


Informationssicherheitsmanagement – erfolgreiches Aufrechterhaltungsaudit

Das Informationssicherheitsmanagementsystem wurde auch 2020 extern auditiert und die Zerti- fikate ISO 27001:2013 und WLA-SCS:2016 aufrechterhalten.

Im Pandemiejahr 2020 war es besonders wichtig, auf die Risiken und Gefahren im Bereich E- Mail- und Internetsicherheit sowie Social Engineering hinzuweisen und die Awareness diesbezüg- lich zu steigern. Durch die enge Verflechtung mit dem Thema Datenschutz wirken bewusstseins- bildende Maßnahmen diesbezüglich doppelt und werden auch durch die gemeinsame organisato- rische Verortung dieser beiden Themen in der Abteilung Compliance optimal aufeinander abge- stimmt. Die fortschrittliche und sichere IT-Infrastruktur, die von hochkompetenten Mitarbeiterin- nen und Mitarbeitern der unternehmensinternen IT gestaltet bzw. betreut wird, ermöglichte es, den Bürobetrieb innerhalb kürzester Zeit auf Homeoffice-Betrieb umzustellen – durch das bereits jahrelang aufgebaute hohe Bewusstsein bei den Mitarbeiterinnen und Mitarbeitern für Daten- schutz und Informationssicherheit konnten und können die mit der Arbeit im Homeoffice verbun- denen Informationssicherheitsrisiken stark reduziert werden.


Hinweisgebersystem

Gesetzliche und interne Regelungen einzuhalten hat in unserer Unternehmensgruppe höchste Priorität. Nur wenn diese Regelungen eingehalten werden, können wir Schaden von unserem Un- ternehmen, unseren Gästen sowie Kundinnen und Kunden, unseren Beschäftigten und unseren Geschäftspartnern abwenden. Fehlverhalten muss daher frühzeitig erkannt, aufgearbeitet und unverzüglich abgestellt werden.

Unser Hinweisgebersystem ist für Hinweise auf schwere Regel- und Rechtsverstöße eingerichtet. Darunter werden jene Verstöße verstanden, die (finanzielle) Interessen unseres Unternehmens in schwerwiegender Weise beeinträchtigen und zu hohen Reputationsschäden führen können. Im Rahmen eines fairen und transparenten Verfahrens schützt das Hinweisgebersystem das Unter- nehmen, die Betroffenen und die Hinweisgebenden.

Das Hinweisgebersystem der Casinos Austria und Österreichische Lotterien Unternehmengruppe ist bereits seit 2018 für interne und externe Hinweisgeberinnen und Hinweisgeber verfügbar und online über die Adresse bkms-system.net/cal erreichbar. Damit wird der Whistleblower-Richtlinie (EU 2019/1937) in der Unternehmensgruppe schon seit mehreren Jahren Rechnung getragen.


Erneute erfolgreiche Compliance-Rezertifizierung nach ISO 19600 sowie ISO 37001

Der ISO-Standard 19600 ist eine internationale Norm und beinhaltet Richtlinien für den Einsatz von Compliance-Management-Systemen. Derartige Systeme helfen, die Risiken regelwidrigen Verhaltens zu erkennen, zu verstehen und richtig darauf zu reagieren. Zentrales Element des Compliance-Managements nach ISO 19600 ist die Risikobewertung. Die Risiken werden nach der Wahrscheinlichkeit ihres Eintretens gewichtet und priorisiert. Gegen die größten der identifizier- ten Compliance-Risiken sind entsprechende Maßnahmen zu ergreifen. Dabei widmet sich der ISO-Standard auch den Rollen und Verantwortlichkeiten der handelnden Personen.

Der ISO-Standard 37001 ist ein praktikables Tool für Organisationen, um die eigene aktuelle Ri- sikosituation kritisch zu analysieren und angemessene Maßnahmen gegen Korruption in beste- hende Strukturen und Prozesse zu integrieren. Wie alle Managementsystemstandards basiert auch ISO 37001 auf dem sogenannten High Level Standard Framework. Dadurch lässt er sich einfach in ein bestehendes Compliance-Management-System nach ISO 19600 integrieren. Auch 2020 wurden Casinos Austria und die Österreichischen Lotterien als weltweit einzige Glücksspiel- anbieter nach den ISO-Standards 19600 und 37001 geprüft und erfolgreich zertifiziert.

verlängert auf 2020

geplant 2020

verlängert bis 2021

verlängert bis 2019

Status 2019

umgesetzt

geplant 2020: Erweiterung des Complian- ce-Checks

auf CAI

umgesetzt

Compliance-Schulung von 95 % der Mitarbeiterinnen und Mitarbeiter der Zentrale

geplant 2020

geplant 2020

wird im Laufe

2021 abgelöst

geplant 2019

umgesetzt 2018

Evaluierung effektiverer Methoden bei derCompliance-Prüfung von Sponso- ring-Aktivitäten

umgesetzt

geplant 202-0

Evaluierung der strukturierten Erfas- sung von Stakeholder-Einladungen ins Compliance-Check-Tool

teilweise umgesetzt

geplant 2020

geplant 2020

-

-

Ablösung des Compliance- Risiko- und Chancen analysetools

teilweise umgesetzt

Ablösung des Tools für das Verzeichnis der Verarbeitungstätigkeiten

neuer

Review 2020

geplant 2020

Erstellung von internen Umfragen,

mit denen der Wissensstand über die

Vorgaben abgefragt werden kann

Erneuerung und Erweiterung der Kommunikationsmaßnahmen zu Compliance-Themen

-

-

Status 2020

Compliance-Schulung von 95 % der Verantwortlichen in den Betrieben

Status 2018

teilweise umgesetzt

geplant 2020

geplant 2020

Review des Compliance- Risiko- und

Chancenanalysetools

ausgesetzt

geplant 2020

Dokumentation aller Compliance- Schulungsaktivitäten über die un- ternehmensweite Lernplattform

verlängert

bis 2020

Cookies