Hinweisgebersystem: Was ist im Mittelstand zu tun?
Warum ein Compliance-Management-System für Hinweise sinnvoll ist
Als mittelständisches Unternehmen rechtskonform handeln zu wollen, bedeutet nicht, nur ein paar Regeln aufzustellen. Vielmehr ist es auch notwendig, wesentliche Abweichungen von Vorschriften und Vorgaben zu erkennen. Dazu gehört, als essentielles Element, ein Meldesystem für Hinweise auf Compliance-Verstöße.
Das ist neu: Hinweisgeberlösung ist verpflichtend
Mit der seit Ende 2021 in allen EU-Mitgliedsstaaten gültigen Whistleblower-Richtlinie kommt auf die Unternehmen, die bis jetzt keine Möglichkeit angeboten haben, Verstöße zu melden, eine entsprechende Verpflichtung zu. Die Richtlinie ist am 16.12.2019 in Kraft getreten und soll den bislang lückenhaften Schutz von Hinweisgebern EU-weit deutlich verbessern. Betroffen sind juristische Personen mit mehr als 50 Mitarbeitern. Diese Unternehmen müssen sichere Kanäle für die Meldung von Verstößen (Meldekanäle) einrichten und ein Compliance Management für Hinweise (Hinweisgebersystem bzw. Meldestelle) etablieren.
Die EU-Richtlinie soll einen Schutz von Personen gewährleisten, die Verstöße gegen das Unionsrecht, z.B. Datenschutz, Produktsicherheit oder Verhinderung von Geldwäsche und Terrorismusfinanzierung, melden. Die EU-Länder können den Anwendungsbereich auf Verstöße gegen nationales Recht erweitern, was der deutsche Gesetzgeber mit dem am 2. Juli 2023 in Kraft getretenen Hinweisgeberschutzgesetz gemacht hat, so dass zusätzlich auch z.B. strafbewehrte Verstöße und bestimmte Bußgeld-Tatbestände erfasst sind. Wer im Rahmen seiner beruflichen Tätigkeit mögliche Compliance-Verstöße bemerkt, soll diese anzeigen können, ohne negative Folgen wie Diskriminierung, Degradierung oder Entlassung befürchten zu müssen. Geschützt sind auch Bewerber, Praktikanten und ehemalige Mitarbeiter. Erleidet der Hinweisgeber - oft als „Whistleblower“ bezeichnet - Repressalien, hat er einen Anspruch auf Entschädigung.
Mit einem Compliance-Management-System gesetzeskonform Hinweise bearbeiten
Die Informationen über den unternehmensinternen Meldeprozess, z.B. im Rahmens eines Compliance-Management-Systems, sowie über alternative externe Meldewege an zuständige Behörden müssen leicht verständlich und zugänglich sein, und zwar für alle Whistleblower, egal ob eigene Mitarbeiter, externe Dienstleister, Zulieferer oder sonstige Geschäftspartner. Alle über die Meldewege erlangten Informationen sollen sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.
Der Eingang einer internen Meldung ist dem Hinweisgeber innerhalb von sieben Tagen nach Eingang der Meldung zu bestätigen. Nach weiteren drei Monaten müssen die Unternehmen auf die Meldung reagieren, diese im Rahmen eines Compliance Managements nachverfolgen und den Whistleblower über die ergriffenen oder geplanten Folgemaßnahmen informieren. Erfolgt auf den ursprünglichen internen Hinweis keine Reaktion und macht der Hinweisgeber seine Kritik dann z.B. im Internet öffentlich, hat er einen Anspruch auf Schutz vor Repressalien. Eine interne Meldung ist zudem gar nicht erst erforderlich, wenn eine unmittelbare Gefahr für die Öffentlichkeit droht.
Die Meldung an qualifizierte behördliche Stellen ist wahlweise möglich. Faktisch sind interne und externe Meldestellen gleichgestellt, selbst wenn die interne Meldung vorrangig sein soll. Hier zeigt sich ein Konfliktfeld mit der bisherigen Rechtsprechung des Bundesarbeitsgerichts zur bestehenden Loyalitätspflicht von Arbeitnehmern, das erst in einigen Jahren mit neuen höchstrichterlichen Entscheidungen geklärt sein wird. Unabhängig von dieser rechtlichen Herausforderung: Je attraktiver und besser die internen Meldestellen ausgestaltet werden, umso eher können mögliche Missstände zunächst intern aufgeklärt werden.
Compliance Management: Deshalb sind Meldesysteme sinnvoll
Unternehmen, die noch kein Hinweisgebersystem oder Compliance-Management-System haben, sollten dies schnellstmöglich planen und einführen. Es lohnt sich: Ungefähr 40 % aller Fraud-Fälle und Compliance-Verstöße in Unternehmen werden über Meldungen von Hinweisgebern aufgedeckt.
Hinweise ermöglichen es nicht nur, Informationen über kriminelles Handeln zu erhalten, sondern auch systemische Schwachstellen zu identifizieren und diese frühzeitig anzupassen. Insofern ist ein Meldesystem ein wichtiger Teil des betrieblichen Verbesserungswesens. Es zeigt in Ergänzung zu Mitarbeiterbefragungen, was die Mitarbeiter bewegt. Denn Hinweise durch Whistleblower erfolgen stets mit einer besonderen Motivation, sei es ausgeprägter Ärger, ein echtes Aufklärungsinteresse eines Insiders aus Sorge um das Unternehmen oder der Wille zur Weltverbesserung. Wo Rauch ist, da ist auch Feuer.
So sollte ein Compliance Management für die Meldestelle ausgestaltet werden
Zunächst sind nachvollziehbare, transparente und effiziente Abläufe für die Entgegennahme von Meldungen zu definieren, z.B. telefonisch, persönlich oder über eine Online-Plattform. Die Meldestelle kann intern oder extern betrieben werden. Weiterhin ist die Organisation der vertraulichen und professionellen Bearbeitung festzulegen. Am besten geeignete Personen zum Erhalt und zur Nachverfolgung der Meldungen sind z.B. die Compliance Officer bzw. Compliance Manager, aber ebenso können externe Vertrauensstellen beauftragt werden. Arbeits- und datenschutzrechtliche Punkte sind zu klären.
Ein zentraler Faktor für die erfolgreiche Einführung eines Hinweisgebersystems im Rahmen eines Compliance-Management-Systems ist eine professionelle Kommunikationskampagne. Diese fängt mit den Botschaften der Unternehmensleitung an („Tone from the top“), vermittelt darüber hinaus eine positive Grundeinstellung und nimmt Ängste zu Missbrauch für Denunziantentum.
Wie der Hinweis auf einen Compliance-Verstoß bearbeitet werden sollte
Nach dem Eingang einer Meldung geht es erst richtig los. Nun ist zu klären, ob an den Vorwürfen bezüglich Compliance etwas dran ist. Dazu muss eine neutrale, verlässliche Stelle beauftragt und bevollmächtigt werden, alle notwendigen Maßnahmen zur Aufklärung einzuleiten. Dafür sollten entsprechend qualifizierte Personen sorgfältig ausgewählt werden: Findet sich intern ein Compliance Officer für das Compliance Management? Oder ist es besser einen externen Vertrauensanwalt oder Compliance-Experten einzubinden, der den internen Compliance-Koordinator dabei unterstützt, die Hinweise juristisch zutreffend zu bewerten? Wer kann mit dem Hinweisgeber auf vertraulicher Ebene kommunizieren? Ferner ist eine gute Vernetzung insbesondere mit den Bereichen Personal und Audit wichtig.
Bei der Bearbeitung von Hinweisen rund um Compliance sollten durchaus auch vermeintliche Kleinigkeiten aufgegriffen werden. So können die Abläufe z.B. mit dem Bereich Audit trainiert werden, damit es in ernsthaften Fällen vertrauensvoll und effektiv läuft. Ebenfalls zeigt sich häufig erst bei der genaueren Analyse und Aufarbeitung, dass der trivial anmutende Hinweis zwar keinen Rechtsverstoß aber dafür eine prozessuale Schwäche aufgezeigt hat.
Stellt sich später nach Abschluss der internen Aufarbeitung heraus, dass Mitarbeiter oder externe Geschäftspartner sich nicht an die festgelegten Regeln oder geltenden Gesetze gehalten haben, so müssen angemessene Konsequenzen gezogen werden. Diese reichen je nach Schwere des Verstoßes von einer erneuten Schulung eines Mitarbeiters zum Thema Compliance bis zur Beendigung der Geschäftsbeziehung mit einem Geschäftspartner und Geltendmachung von Schadensersatzforderungen.
Meldungen von Compliance-Verstößen regelmäßig auswerten
Ist ein Compliance Management zur Meldung und Bearbeitung von Hinweisen einmal eingeführt worden, sind nachfolgend regelmäßige Auswertungen empfehlenswert. Welche der Meldekanäle wurden wie häufig genutzt? Wie ist die Entwicklung der Meldungen im Vergleich zum Vorjahr? Gibt es thematische oder regionale Schwerpunkte? Hatte die Unternehmensentwicklung oder eine bestimmte Marketingaktion einen Einfluss auf die Quantität oder Qualität der Meldungen? Welche Qualität haben die Hinweise? Sind diese überwiegend anonym und pauschal oder substantiell und relevant? Die Erkenntnisse aus diesen Auswertungen und der eine oder andere erwähnenswerte Fall sollten dann mit den Mitarbeitern geteilt werden, natürlich ohne dass Rückschlüsse auf einzelne Hinweisgeber möglich wären.
Wie wir beim Compliance Management von Hinweisen helfen
Wir beraten zusammen mit Kooperationspartnern mittelständische Unternehmen sowohl bei der Einführung von (digitalen) Hinweisgeber-Systemen bzw. Meldekanälen als auch beim laufenden Betrieb der Meldestelle, d.h. bei der Bewertung und Bearbeitung von Hinweisen sowie bei der Aufklärung von Compliance-Verstößen. Darüber hinaus können wir bei der Konzeption, Implementierung und Auditierung von Compliance-Management-Systemen unterstützen.
© LC | LIBUDA consulting, 2023