„Ohne ein Hinweisgebersystem besteht die Gefahr, dass Risiken nicht erkannt werden“

Auch hier hat sich zuletzt viel getan. Anfang Dezember, also fast zwölf Monate nachdem die Pflicht zur Umsetzung der EU-Richtlinie abgelaufen ist, verfügte erst gut ein Drittel der EU-Staaten über ein nationales Hinweisgeberschutzgesetz. Dann brachten neben Deutschland auch Belgien und Italien ihre nationalen Hinweisgeberschutzgesetze auf den Weg.

Vorbildlich war hier vor allem Dänemark, dessen Gesetz bereits im Sommer 2021 verabschiedet wurde. Inhaltlich gehen die Dänen wie Deutschland, aber bspw. auch Schweden und Frankreich über die Anforderungen der EU-Richtlinie hinaus. Damit werden in Kürze von den fünf EU-Staaten mit den meisten Einwohnern neben Frankreich auch Deutschland und Italien ihre Hinweisgeber durch ein nationales Gesetz schützen. Gegen die Länder, die noch keinen Vollzug gemeldet haben, hatte die EU-Kommission bereits ein förmliches Vertragsverletzungsverfahren eingeleitet.

Ein digitales Hinweisgebersystem ist ein effizientes Frühwarnsystem für Unternehmen, um Risiken frühzeitig zu erkennen und Schaden vom Unternehmen abzuwenden. Mitarbeitende oder externe Anspruchsgruppen wie Kunden, Geschäftspartner oder Lieferanten können über das Tool Hinweise auf rechtliche oder ethische Verstöße anonym und verschlüsselt abgeben. Das System ermöglicht außerdem eine geschützte Kommunikation mit den Personen, die Missstände gemeldet haben. Jeder Schritt des Verfahrens wird DSGVO-konform und revisionssicher dokumentiert.

Jedes System ist nur so gut wie die Compliance-Kultur, die im jeweiligen Unternehmen vorherrscht – das muss jedem klar sein. Es ist also wichtig, dass Werte und ethische Grundsätze klar kommuniziert und vom Management vorgelebt werden. Stichwort: „Tone from the Top“. Außerdem braucht es eine klar definierte Compliance-Organisation, die die Zuständigkeiten bei Hinweisen auf Missstände regelt und die sich daraus ergebenden Prozesse und Eskalationsprinzipien vorgibt. Hier muss der Vorstand bzw. die Geschäftsführung die entsprechenden Strukturen schaffen. Um Gefahren für das Unternehmen frühzeitig zu erkennen und wirkungsvolle Präventions- und Abhilfemaßnahmen ergreifen zu können, empfiehlt es sich außerdem, ein effizientes Risikomanagement zu etablieren.

Wir sehen eigentlich keine Nachteile digitaler Lösungen, denn diese erleichtern mit ihren intelligenten und intuitiven Workflows die tägliche Arbeit der Compliance-Verantwortlichen erheblich. Unternehmen, die auf automatisierte Arbeitsabläufe setzen, sparen zudem Zeit und Geld. Es ist deshalb nicht verwunderlich, dass die webbasierten Lösungen sich in den letzten 20 Jahren bewährt und als Best Practice etabliert haben, denn nur sie erfüllen alle Anforderungen an eine sichere, anonyme und DSGVO-konforme Kommunikation. Andere Meldewege können dies alles gar nicht gewährleisten. Eine Telefonhotline, ein E-Mail-Postfach oder ein spezieller Briefkasten für Hinweise, die Unternehmen theoretisch auch einrichten könnten, erfüllen allenfalls Mindeststandards – die von Experten dringend eingeforderte Wahrung der Anonymität der meldenden Personen kann mit diesen Lösungen jedoch nicht sichergestellt werden. Die Hinweisgebenden könnten, wenn es hart auf hart kommt, über die Stimme, Schrift oder IP-Adresse identifiziert werden.

Digitale Systeme sind der einzige sichere Weg für Hinweisgebende, um Missstände wie Korruption, Amtsmissbrauch, Diskriminierung oder Belästigung sowie Verstöße gegen interne Richtlinien zu melden. Die Kommunikation ist verschlüsselt, damit können die meldenden Personen auch nach ihrem Hinweis Rückfragen der Compliance-Beauftragten beantworten und weiter zur Aufklärung des Sachverhalts beitragen, ohne ihre Identität preisgeben zu müssen. So wird die Hemmschwelle bei Mitarbeitenden oder externen Stakeholdern, die vor allem vor der ersten Meldung sehr hoch ist, deutlich herabgesetzt. Aus unserer langjährigen Erfahrung ist es außerdem zu empfehlen, dass die Abgabe der Hinweise in Landessprache möglich ist, damit Mitarbeitende nicht aufgrund einer Sprachbarriere davon abgehalten werden, Hinweise zu geben. Es ist vor allem für international agierende Konzerne wichtig, verschiedene Sprachschienen anzubieten. Dies ist technisch ohne Weiteres möglich.

Die EU-Hinweisgeberrichtlinie und alle darauf fußenden nationalen Gesetze sehen drei Möglichkeiten vor, wie hinweisgebende Personen bei ihrer Meldung vorgehen können. Grundsätzlich haben sie Wahlfreiheit, ob sie den Verdacht oder Missstand intern beim eigenen Unternehmen melden möchten oder extern bei der zuständigen Aufsichtsbehörde. Als Ultima Ratio, wenn Hinweisgebende bei beiden Stellen kein Gehör finden, können sie sich auch an die Öffentlichkeit wenden – und genießen denselben Schutz. Das deutsche Hinweisgeberschutzgesetz – und auch das ist neu – räumt internen Meldestellen Vorrang ein. Es appelliert an die Unternehmen, Anreize für die Nutzung der internen Meldeverfahren zu schaffen, ohne die Abgabe von Meldungen an die externe Stelle zu behindern.

Auf jeden Fall positiv. Sowohl das Melden an externe Behörden als auch an die Öffentlichkeit ist für Unternehmen in aller Regel die deutlich schlechtere Variante. Sie verlieren die Möglichkeit, Missstände proaktiv zu adressieren und riskieren signifikante Reputationsschäden sowie finanzielle Konsequenzen. Daher empfehlen wir allen Unternehmen, die interne Meldemöglichkeit so zugänglich wie möglich zu machen: mit der Option, anonym zu melden, in allen relevanten Sprachen, breit kommuniziert.

Interne Meldestellen werden von unternehmenseigenen Abteilungen oder Komitees betreut, z.B. Compliance, Internal Audit oder HR. Die Meldungen werden intern bearbeitet und bei relevanten Fällen interne Ermittlungen durchgeführt. Das funktioniert natürlich nur, wenn Unternehmen das Thema ernst nehmen – was im gegensätzlichen Fall passiert, hat uns das Beispiel Wirecard gezeigt. Externe Meldestellen sind in der Regel Behörden, in Deutschland allen voran das Bundesamt für Justiz, aber auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder das Bundeskartellamt. Laut dem Hinweisgeberschutzgesetz müssen Unternehmen darüber informieren, dass sich hinweisgebende Personen auch an diese Stellen wenden können. Hier können Unternehmen dann natürlich heikle Prozesse, Bußgelder und Reputationsschäden drohen.

Ja, gern. Wenn eine Meldung eingegangen ist, versendet der Bearbeiter eine Eingangsbestätigung an die hinweisgebende Person, dies muss laut dem Gesetz innerhalb von sieben Tagen geschehen. Voraussetzung dafür ist, dass sie einen Postkasten für eine weiterführende Kommunikation eingerichtet hat – aufgrund der Verschlüsselung bleibt sie dabei natürlich, sofern gewünscht, weiter anonym. Es folgt eine Plausibilitätsprüfung, einige Unternehmen haben auch einen Compliance-Ausschuss, in dem die Meldungen und das weitere Vorgehen besprochen werden. Über die integrierte Meldungsbearbeitung können dann auch andere Abteilungen wie HR, Controlling oder Datenschutz in die Bearbeitung und Aufklärung der Sachverhalte einbezogen werden. Über den Postkasten, sofern vorhanden, werden dann häufig auch Rückfragen an die Hinweisgebenden gestellt. Nach spätestens drei Monaten sollen die Hinweisgebenden eine Rückmeldung zu den geplanten oder bereits ergriffenen Maßnahmen erhalten. Die Empfangsbestätigung und die Rückmeldung sind neue Anforderungen, die sich aber auch digital abbilden lassen. Unternehmen, die bereits vor längerer Zeit proaktiv ein Hinweisgebersystem eingeführt haben, sollten dieses daher diesbezüglich noch einmal auf den Prüfstand stellen.

Die wesentliche Funktionsweise ist gleich. Unterschiede gibt es regelmäßig bei den Themenschwerpunkten, zu denen Meldungen abgegeben werden – und der internen Bearbeitung. Im öffentlichen Sektor geht es häufig um Bestechung von Amtsträgern, Vergabeprozesse, Finanzbetrug; außerdem werden die Meldungen i. d. R. nur in einer oder zwei Sprachen abgegeben. Im privaten Sektor sind die möglichen Themen häufig vielfältiger und je nach internationaler Ausrichtung des Unternehmens auch aus aller Welt zu erwarten.

Diese Befürchtung hört man ziemlich häufig von Unternehmen und Organisationen, wenn es um anonyme Meldungen geht. Dabei bestätigt sich dieser Vorbehalt nicht, wenn man noch einmal einen Blick in den „Whistleblowing Report 2021“ wirft. Nur rund 10 % der eingegangenen Meldungen stuften deutsche Firmen als missbräuchlich ein. Dabei hatte die Möglichkeit, anonym zu bleiben, keinen Einfluss auf diesen Anteil. Dagegen wiesen 45 % der Meldungen auf einen Compliance-relevanten Missstand hin. Die übrigen knapp 45 % sind zwar aus Compliance-Sicht nicht relevant, deuteten aber auf andere interne Probleme hin. Bei den befragten Unternehmen aus Frankreich, Großbritannien und der Schweiz war der Anteil der Meldungen, die die Intention hatten, den Kollegen oder dem Unternehmen gezielt Schaden zuzufügen, sogar noch geringer.

Das deutsche Hinweisgeberschutzgesetz sagt ganz klar, dass hinweisgebende Personen bei Falschmeldungen zum Ersatz des Schadens verpflichtet sind. Voraussetzung: Die Meldung oder Offenlegung der unrichtigen Informationen geschah vorsätzlich oder grob fahrlässig. Personen, die Vorgänge falsch einschätzen und nach bestem Wissen und Gewissen handeln und melden, haben damit nichts zu befürchten.

Viele deutsche Unternehmen werden ab 2023 direkt doppelt regulatorisch verpflichtet, interne Meldesysteme einzurichten: neben dem Hinweisgeberschutzgesetz auch durch das Lieferkettensorgfaltspflichtengesetz. Beide stellen spezifische Anforderungen an Unternehmen. So müssen bestimmte Rückmeldefristen eingehalten, jährliche Reports eingereicht und Informationen für Hinweisgebende in bestimmter Form vorgehalten werden, um nur einige Beispiele zu nennen.

Der wichtigste Schritt ist, wie bereits erwähnt, eine ethische und starke Compliance-Kultur im Unternehmen zu etablieren. Das geht nicht von heute auf morgen, deshalb kann man gar nicht früh genug damit beginnen. Die Führungsebene sollte möglichst frühzeitig die entsprechenden Maßnahmen ergreifen und dabei auf Best Practice setzen. Dazu gehört auch ein Hinweisgebersystem, dessen erfolgreiche Implementierung stark von der Akzeptanz der Mitarbeitenden sowie von der klaren und transparenten Kommunikation der damit verbundenen Prozesse und Compliance-Maßnahmen abhängt. Und es gibt noch einen weiteren wichtigen Punkt, weshalb es empfehlenswert ist, rechtzeitig alles in die Wege zu leiten: Kleine Unternehmen mit mehr als 50 Beschäftigten haben zwar noch eine Schonfrist und müssen die geforderten internen Maßnahmen erst bis Ende des nächsten Jahres umsetzen. Allerdings können sich Personen, die Missstände oder Rechtsverstöße extern melden, bereits vorher auf den gesetzlichen Schutz berufen. Das heißt in der Praxis: Es besteht die Gefahr, dass sich Hinweisgebende an die Aufsichtsbehörden wenden, wenn kein interner Kanal zur Verfügung steht. Damit geben die Verantwortlichen das Heft des Handelns aus der Hand. Denn wenn die externen Untersuchungen erst einmal laufen, kann das Unternehmen nur noch reagieren. So weit sollte man es auf keinen Fall kommen lassen.

Die Strafzahlungen von 20.000 Euro, die das Hinweisgeberschutzgesetz vorsieht, sind für die meisten Unternehmen nicht sonderlich abschreckend. Anders sieht das dagegen beim Lieferkettensorgfaltspflichtengesetz aus, das für das Beschwerdeverfahren ebenfalls ein Meldesystem verlangt, dessen Strafen in die Millionen gehen können. Hier drohen außerdem Schadensersatzklagen bei Verstößen gegen die Sorgfaltspflichten.

Unternehmen sollten sich also schon aus Selbstschutz solide aufstellen, denn ohne ein Hinweisgebersystem besteht zudem die Gefahr, dass Risiken nicht erkannt werden. Neben dem daraus resultierenden finanziellen Schaden droht ein Reputationsverlust, der bei großen Verfehlungen kaum noch wettzumachen ist.

Das Interview führte Anne Politz.