Für Hinweise dankbar

Diebstahl, Datenmissbrauch, Korruption: Die Liste an potenziellen Regelverstößen, die Führungskräfte und Mitarbeiter verschulden können, ist lang. Manch ein Unternehmer wäre dankbar gewesen für frühzeitige Hinweise, mit denen die Schäden präventiv abzuwenden gewesen wären. Umgekehrt ist eine Person, die couragiert Verstöße und Verfehlungen in Unternehmen und Organisationen meldet, nicht immer gut angesehen und muss oft selbst mit Repressalien rechnen. Diesen Missstand will die EU-Kommission mit der EU-Whistleblower-Richtlinie beheben.

Die Richtlinie ist seit 17. Dezember 2019 in Kraft und hätte eigentlich bis Dezember 2021 von den Mitgliedsstaaten in nationales Recht umgesetzt werden müssen (siehe WiM 10/2021). Da Deutschland und 23 andere EU-Länder diese Frist für die Umsetzung verstreichen ließen, ohne ein entsprechendes Gesetz zu beschließen, hat die EU-Kommission am 27. Januar 2022 reagiert und die erste Stufe des Vertragsverletzungsverfahrens eingeleitet. Deutschland und die ermahnten Länder haben nun wenige Monate Zeit, um zu reagieren und die festgestellten Rechtsverstöße abzustellen. Mögliche Folge: Die Schutznormen können größtenteils seit Mitte Dezember bereits ohne Gesetz geltend gemacht werden. Unternehmen sind also gut beraten, wenn sie sich trotz der Verzögerung beim deutschen Gesetzgebungsverfahren umgehend an die Umsetzung eines internen Hinweisgebersystems machen.

Die EU-Whistleblower-Richtlinie fordert, dass Unternehmen ab 50 Mitarbeiter sowie Organisationen und Behörden ein eigenes Hinweisgebersystem einzurichten haben, an das sich Hinweisgeber anonym wenden können. Bei der Umsetzung müssen die Hinweisnehmer verschiedene Vorgaben einhalten, wie etwa zeitliche Fristen, die Nennung einer unparteiischen Ansprechperson oder eine zuverlässige Erreichbarkeit rund um die Uhr.

Die Richtlinie soll „natürliche Personen, die im Zusammenhang mit ihrer beruflichen oder dienstlichen Tätigkeit Informationen über Verstöße erlangt haben und diese […] melden oder offenlegen“ vor rechtlichen Nachteilen schützen. So formuliert es der Referentenentwurf des Bundesjustizministeriums. Der Schutz gilt ebenso für Personen, die selbst von einer Meldung oder Offenlegung betroffen sind.

Erfasst von der Richtlinie sind Meldungen über Verstöße, „die straf- oder bußgeldbewehrt sind“, und über sonstige Handlungen, die „gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften“ des Bundes, der Länder und Rechtsakte der EU verstoßen. Der Schutz für die Hinweisgeber soll außerdem gelten, wenn es im besonderen öffentlichen Interesse liegt, dass die gemeldeten Verstöße gegen Vorschriften bzw. sonstiges erhebliches Fehlverhalten aufgedeckt werden. Zu den Anwendungsbereichen zählen beispielsweise Arbeitsschutz, Auftragsvergabe, Geldwäsche oder Steuerrecht. Unternehmen haben darüber hinaus oft eigene Regularien, die in Compliance-Richtlinien festgehalten werden und ebenfalls melderelevant sein können.

Kanäle für die Meldung von Hinweisen

Betriebe, die ein Hinweisgebersystem einrichten, haben grundsätzlich zwei Möglichkeiten: Sie können einen internen Meldekanal einrichten, der von einer hierfür benannten Person oder Abteilung betrieben wird, oder einen externen Meldekanal, der von einem Dritten (z. B. Beratungsgesellschaft oder Kanzlei) bereitgestellt wird. Bevor die Entscheidung fällt, ist ein eventuelles Mitbestimmungsrecht des Betriebsrates zu beachten.

Der Hinweisgeber kann seine Meldung über mehrere Wege abgeben: per Telefon, E-Mail, Briefkasten, Software oder persönlich. Bei der Entscheidung für den Meldekanal des Hinweisgebersystems sind wichtige Aspekte relevant:

• Datenschutz und -sicherheit
• revisionssichere und gerichtsfähige Dokumentation und Archivierung
• Prozesse für die Bearbeitung des jeweiligen Falls
• Kommunikation mit dem Hinweisgeber über die weitere Verfahrensweise

Ist die Konzeption eines funktionierenden Hinweisgebersystems abgeschlossen, wird es im Betrieb installiert – flankiert von einer transparenten Kommunikation. Das Whistleblower-System sollte so gestaltet sein, dass alle potenziellen internen und externen Hinweisgeber wissen, worauf es abzielt, wie die einzelnen Prozessschritte gestaltet sind und wie es funktioniert.

Verantwortung, Prozesse, Digitalisierung

Es ist klar festzulegen, wer in der Organisation für die Bearbeitung der Fälle sowie für die Verwaltung und Dokumentation der eingehenden Hinweise verantwortlich ist. Erforderlich sind

• eine Prozesskette mit erster Relevanzbeurteilung
• optionale lösungsorientierte Handlungsmaßnahmen und Ablaufprozesse
• eine Kontrollinstanz zur Analyse und Überwachung der Fälle
• die Evaluierung des Systems

Kommen digitale Tools zum Einsatz, können diese bereits viele Anforderungen abdecken und die Verantwortlichen entlasten. Es sind einige Systeme am Markt, die gewährleisten, dass die Vorschriften ohne großen personellen oder finanziellen Aufwand erfüllt werden. Die Vorteile einer Whistleblower-Software liegen auf der Hand:

• einfache Handhabung
• Verfügbarkeit rund um die Uhr
• Mehrsprachigkeit
• Fristen- und Dokumentenmanagement
• sichere Datenverarbeitung unter Wahrung der Vertraulichkeit und Identität des Hinweisgebers
• geringer laufender Aufwand

Eine wichtige Frage ist zu klären: Kann das Unternehmen die Anforderungen des Gesetzgebers in eigener Regie erfüllen? Oder genauer gesagt: Sind die personellen Kapazitäten vorhanden, haben die benannten Verantwortlichen die entsprechende Kompetenz und wie steht es um die Organisationsstruktur des Unternehmens? Stellt sich heraus, dass das Unternehmen das Hinweisgebersystem nicht selbst betreiben kann, kann es auch an ein Beratungsunternehmen outgesourct werden.

Der Hinweisgeberschutz und die damit verbundene Zielsetzung sollten nicht nur als lästige Pflicht betrachtet werden, denn sie bieten auch Chancen für die Unternehmensentwicklung. Das gilt insbesondere, wenn das verpflichtende Hinweisgebersystem optimal durch ein betriebliches Compliance-System ergänzt wird. Steht es als Teil eines Compliance-Management-Systems (CMS) für eine integre und verantwortliche Unternehmenskultur, die von einer verantwortungsvollen Geschäftsführung gelebt wird, so ergeben sich dadurch u. a. diese positiven Effekte:

• Die Arbeitgebermarke wird gestärkt.
• Eine Kultur des Vertrauens etabliert sich.
• Es entsteht eine vorbeugende Wirkung gegen Missstände und Rechtsverstöße.
• Finanzielle Nachteile, Strafen und Reputationsschäden werden vermieden.
• Für die Geschäftsführer verringert sich das Risiko, die Haftung wird begrenzt.
• Es stellen sich Wettbewerbsvorteile ein, nicht zuletzt auch im Hinblick auf weitere gesetzliche Vorschriften wie etwa das Lieferketten-Sorgfaltspflichtengesetz.

In den Unternehmen sorgen Compliance-Richtlinien, bei denen die Verhaltensregeln und Verpflichtungen transparent und verständlich definiert sind, für Klarheit unter den Mitarbeitern und Führungskräften. Sie stärken das Vertrauen in das Unternehmen und in dessen Integrität. Das CMS identifiziert und verwaltet zentral alle unternehmensrelevanten Compliance-Maßnahmen, legt verbindliche Grundsätze fest und skizziert für alle Mitarbeiter und Führungskräfte ein regelkonformes, prinzipien- und gesetzestreues Handlungsfeld. Bei der Umsetzung gilt es, das CMS in der Organisation und in der Prozesslandschaft des Unternehmens zu verankern und kommunikativ zu begleiten.

Whistleblower können somit durch anonyme Hinweise das Unternehmen und die Firmenlenker vor Haftungsrisiken und finanziellen Schäden schützen – und darüber hinaus die Unternehmenskultur stärken. Wenn digitale und professionelle Hinweisgebersysteme eingesetzt werden und diese in einer wirkungsvollen betrieblichen Compliance-Struktur verankert sind, hat dies eine hohe präventive Wirkung und es lassen sich viele Missstände aufklären.