SAP zahlt Strafe von 235 Millionen US-Dollar

Der globale Softwareriese einigte sich mit dem US-Justizministerium auf einen Vergleich, der zu den größten seiner Art zählt.

Das in Deutschland ansässige Unternehmen SAP wurde wegen Bestechung von Regierungsbeamten angeklagt und stimmte in einem der größten Bestechungsvergleiche der Zahlung von über 235 Millionen US-Dollar zu.

Die Einigung umfasst neben der Strafzahlung mehrere Komponenten. So beinhaltet der Vergleich verbesserte Compliance-Maßnahmen. SAP ist verpflichtet, seine internen Kontrollmechanismen und Compliance-Strukturen zu stärken. Dies umfasst regelmäßige Berichterstattung und Überprüfung durch externe Prüfer, um sicherzustellen, dass die neuen Richtlinien eingehalten werden. Zudem hat sich SAP verpflichtet, vollständig mit den US-Behörden zu kooperieren und für Transparenz in allen zukünftigen Geschäftsbeziehungen zu sorgen.

SAP bestach zusammen mit Mitverschwörern südafrikanische und indonesische Beamte und stellte ihnen Bargeld, politische Spenden und Überweisungen sowie Luxusgüter zur Verfügung. Ziel war es, Vorteile für SAP im Zusammenhang mit verschiedenen Verträgen mit südafrikanischen Ministerien und Behörden zu erzielen, darunter Eskom Holdings Limited, ein südafrikanisches staatliches und staatlich kontrolliertes Energieunternehmen.

Das Unternehmen bestach auch Regierungsbeamte in Malawi, Kenia, Tansania, Ghana und Aserbaidschan über von ihm beauftragte Drittvermittler und Berater, die Bestechungsgelder zahlten, um Geschäfte mit Kunden des öffentlichen Sektors in diesen Ländern zu erhalten.

Regierungsbeamte aus Südafrika und Indonesien wurden auf Reisen nach New York, zu Einkaufsausflügen sowie zu Essens- und Golfausflügen geschickt. Nach Angaben der US-Börsenaufsicht SEC zahlte in einem Fall ein leitender Angestellter der indonesischen SAP-Tochtergesellschaft Bestechungsgelder an Beamte des Ministeriums für maritime Angelegenheiten und Fischerei des Landes. Zur Übergabe der Bestechungsgelder wurde der Geschäftsführer angewiesen, „siebzig Millionen in fünfzigtausend Scheinen … mitzubringen und einen leeren Umschlag mitzubringen.“

In einem anderen Fall unterzeichnete die südafrikanische Tochtergesellschaft von SAP einen Vertrag mit Eskom Holdings, dem staatlichen südafrikanischen Energieversorger, im Wert von 29 Millionen US-Dollar. Die SEC identifizierte Zahlungen in Höhe von über 6,7 Millionen US-Dollar an „Berater“, die nie irgendwelche Dienstleistungen erbracht hatten.

Das Unternehmen hatte keine wirksame Aufsicht über seine Vermittler und Berater, führte keine angemessenen internen Buchhaltungskontrollen für externe Freiberufler ein und verfügte nicht über ausreichende Kontrollen auf Unternehmensebene für seine hundertprozentigen Tochtergesellschaften.

„SAP hat die Verantwortung für korrupte Praktiken übernommen, die ehrlichen Unternehmen im globalen Handel schaden“, sagte US-Staatsanwältin Jessica D. Aber. „Wir werden Bestechungsfälle weiterhin energisch verfolgen, um inländische Unternehmen zu schützen, die sich an das Gesetz halten und gleichzeitig am internationalen Markt teilnehmen. 

Die Zahlung von 235 Millionen US-Dollar stellt eine erhebliche finanzielle Belastung für SAP dar. Neben den unmittelbaren Kosten müssen auch die langfristigen Investitionen in die Verbesserung der Compliance-Strukturen berücksichtigt werden. Der Skandal hat auch das Ansehen des Unternehmens erheblich beschädigt.

Compliance: Neu Erfunden

VinciWorks ist der führende Anbieter individuell anpassbarer, innovativer Online-Compliance-Schulungen.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

“In a world older and more complete than ours they move finished and complete, gifted with extensions of the senses we have lost or never attained, living by voices we shall never hear.”

Picture of James

James

VinciWorks CEO, VInciWorks

Spending time looking for your parcel around the neighbourhood is a thing of the past. That’s a promise.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.