Ein Compliance-Management-System ist für Hinweise sinnvoll
Als mittelständisches Unternehmen rechtskonform handeln zu wollen, bedeutet nicht, nur ein paar Regeln aufzustellen. Vielmehr ist es auch notwendig, wesentliche Abweichungen von Vorschriften und Vorgaben zu erkennen. Dazu gehört, als essentielles Element, ein Meldesystem für Hinweise auf Compliance-Verstöße.
Das ist neu: Hinweisgebersysteme werden verpflichtend
Mit der seit Ende 2021 in allen EU-Mitgliedsstaaten gültigen Whistleblower-Richtlinie gilt für die Unternehmen, die bis jetzt keine oder nur eine unzureichende Möglichkeit angeboten haben, Verstöße zu melden, eine entsprechende Verpflichtung, den Schutz von Hinweisgebenden mit bestimmten Mindestanforderungen sicherzustellen. Die Richtlinie ist am 16.12.2019 in Kraft getreten und soll den bislang lückenhaften Schutz von Hinweisgebern EU-weit deutlich verbessern. Betroffen sind juristische Personen mit mehr als 50 Mitarbeitern.
Diese Unternehmen müssen nun auch auf Basis des zum 2. Juli 2023 in Kraft tretenden deutschen Gesetzes zum besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG), sichere Kanäle für die vertrauliche Meldung von Verstößen (Meldekanäle) einrichten sowie ein Compliance Management für Hinweise (Hinweisgebersystem bzw. interne Meldestelle) etablieren.
Die Vorgaben sollen einen Schutz von Personen gewährleisten, die Verstöße gegen das Unionsrecht, z.B. Datenschutz, Produktsicherheit oder Verhinderung von Geldwäsche und Terrorismusfinanzierung, melden. Die EU-Länder können den Anwendungsbereich auf Verstöße gegen nationales Recht erweitern, was der deutsche Gesetzgeber getan hat, so dass zusätzlich auch z.B. strafbewehrte Verstöße und bestimmte Bußgeld-Tatbestände erfasst sind. Wer im Rahmen seiner beruflichen Tätigkeit mögliche Compliance-Verstöße bemerkt, soll diese anzeigen können, ohne negative Folgen wie Diskriminierung, Degradierung oder Entlassung befürchten zu müssen. Geschützt sind auch Bewerber, Praktikanten und ehemalige Mitarbeiter, ebenso externe Dienstleister, Zulieferer oder sonstige Geschäftspartner. Erleidet eine hinweisgebende Person – oft als „Whistleblower“ bezeichnet – Repressalien, hat diese einen Anspruch auf Entschädigung.
Mit einem Compliance-Management-System gesetzeskonform Hinweise bearbeiten
Die Informationen über den unternehmensinternen Meldeprozess, z.B. im Rahmen eines Compliance-Management-Systems, sowie über alternative externe Meldewege an zuständige Behörden müssen leicht verständlich und zugänglich sein. Alle über die Meldewege erlangten Informationen sollen vertraulich und in der Regel drei Jahre lang sicher aufbewahrt werden, damit sie gegebenenfalls als Beweismaterial verwendbar sind.
Der Eingang einer internen Meldung ist dem Hinweisgeber innerhalb von sieben Tagen nach Eingang der Meldung zu bestätigen. Nach weiteren drei Monaten müssen die Unternehmen auf die Meldung reagieren, diese im Rahmen eines Compliance Managements nachverfolgen und den Whistleblower über die ergriffenen oder geplanten Folgemaßnahmen informieren. Erfolgt auf den ursprünglichen internen Hinweis keine Reaktion und macht der Hinweisgeber seine Kritik dann z.B. im Internet öffentlich, hat er einen Anspruch auf Schutz vor Repressalien. Eine interne Meldung ist zudem gar nicht erst erforderlich, wenn eine unmittelbare Gefahr für die Öffentlichkeit droht.
Die Meldung an qualifizierte behördliche Stellen ist entsprechend der EU-Richtlinie und dem HinSchG wahlweise möglich. Faktisch sind interne und externe Meldestellen gleichgestellt, selbst wenn die interne Meldung vorrangig sein soll. Hier zeigt sich ein Konfliktfeld mit der bisherigen Rechtsprechung des Bundesarbeitsgerichts zur bestehenden Loyalitätspflicht von Arbeitnehmern, das erst in einigen Jahren mit neuen höchstrichterlichen Entscheidungen geklärt sein wird. Unabhängig von dieser rechtlichen Herausforderung: Je attraktiver und besser die internen Meldestellen ausgestaltet werden, umso eher können mögliche Missstände zunächst intern aufgeklärt werden.
Compliance Management: Deshalb sind Meldesysteme sinnvoll
Unternehmen, die noch kein Hinweisgebersystem oder Compliance-Management-System haben oder deren System nicht den neuen Anforderungen entspricht, sollten dies schnellstmöglich planen und einführen. Es lohnt sich: Ungefähr 40 % aller Fraud-Fälle und Compliance-Verstöße in Unternehmen werden über Meldungen von Hinweisgebern aufgedeckt. Das sind die klassischen Fälle, bei denen es um finanzielle Schäden geht.
Ein neues Feld für Meldungen kommt mit dem Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten auf (kurz: Lieferkettensorgfaltspflichtengesetz, noch kürzer: Lieferkettengesetz, abgekürzt: LkSG). Nicht nur die unmittelbar betroffenen Unternehmen mit mehr als 3.000 Mitarbeitenden (seit 01.01.2023) und 1.000 Mitarbeitenden (ab 01.01.2024) werden über das vorgeschriebene Beschwerdeverfahren Hinweise auf Verstöße erhalten. Der Logik des Gesetzgebers folgend verpflichten die betroffenen Unternehmen ihre Zulieferer, ebenfalls einen angemessenen und wirksamen Beschwerdemechanismus zu etablieren.
Hinweise ermöglichen es nicht nur, Informationen über z.B. kriminelles Handeln oder Menschenrechtsverletzungen zu erhalten, sondern auch systemische Schwachstellen zu identifizieren und diese frühzeitig anzupassen. Insofern ist ein Meldesystem ein wichtiger Teil des betrieblichen Verbesserungswesens. Es zeigt in Ergänzung zu Mitarbeiterbefragungen, was die Mitarbeiter bewegt. Denn Hinweise durch Whistleblower erfolgen stets mit einer besonderen Motivation, sei es ausgeprägter Ärger, ein echtes Aufklärungsinteresse eines Insiders aus Sorge um das Unternehmen oder der Wille zur Weltverbesserung. Wo Rauch ist, da ist auch Feuer.
So sollte ein Compliance Management für Hinweise ausgestaltet werden
Zunächst sind nachvollziehbare, transparente und effiziente Abläufe für die Entgegennahme von vertraulichen und sogar anonymen Meldungen zu definieren, z.B. telefonisch, persönlich oder über eine Online-Plattform. Die Meldekanäle können intern oder extern betrieben werden. Weiterhin ist die Organisation der vertraulichen und professionellen, fachkundigen Bearbeitung festzulegen. Am besten geeignete Personen zum Erhalt und zur Nachverfolgung der Meldungen sind laut EU-Richtlinie z.B. die Compliance Officer bzw. Compliance Manager, aber ebenso können externe Vertrauensstellen beauftragt werden. Arbeits- und datenschutzrechtliche Punkte sind zu klären.
Ein zentraler Faktor für die erfolgreiche Einführung eines Hinweisgebersystems im Rahmen eines Compliance-Management-Systems ist eine professionelle Kommunikationskampagne. Diese fängt mit den Botschaften der Unternehmensleitung an („Tone from the top“), vermittelt darüber hinaus eine positive Grundeinstellung und nimmt Ängste zu Missbrauch für Denunziantentum.
Wie der Hinweis auf einen Compliance-Verstoß bearbeitet werden sollte
Nach dem Eingang einer Meldung geht es erst richtig los. Nun ist zu klären, ob an den Vorwürfen bezüglich Compliance etwas dran ist. Dazu muss eine neutrale, verlässliche Stelle beauftragt und bevollmächtigt werden, alle notwendigen Maßnahmen zur Aufklärung einzuleiten. Dafür sollten entsprechend qualifizierte Personen sorgfältig ausgewählt werden: Findet sich intern ein Compliance Officer für das Compliance Management? Oder ist es besser einen externen Vertrauensanwalt oder Compliance-Experten einzubinden, der den internen Compliance-Koordinator dabei unterstützt, die Hinweise juristisch zutreffend zu bewerten, und praktische Empfehlungen zu den nächsten Schritten gibt? Wer kann mit dem Hinweisgeber auf vertraulicher Ebene kommunizieren? Ferner ist eine gute Vernetzung insbesondere mit den Bereichen Personal und Revision wichtig.
Bei der Bearbeitung von Hinweisen rund um Compliance sollten durchaus auch vermeintliche Kleinigkeiten aufgegriffen werden. So können die Abläufe z.B. mit dem Bereich Internal Audit trainiert werden, damit es in ernsthaften Fällen vertrauensvoll und effektiv läuft. Ebenfalls zeigt sich häufig erst bei der genaueren Analyse und Aufarbeitung, dass der trivial anmutende Hinweis zwar keinen gravierenden oder nachweisbaren Rechtsverstoß aber dafür eine behebbare, prozessuale Schwäche aufgezeigt hat.
Stellt sich später nach Abschluss der internen Aufarbeitung heraus, dass Mitarbeiter oder externe Geschäftspartner sich nicht an die festgelegten Regeln oder geltenden Gesetze gehalten haben, so müssen angemessene Konsequenzen gezogen werden. Diese reichen je nach Schwere des Verstoßes von einer erneuten Schulung eines Mitarbeiters zum Thema Compliance bis zur Beendigung der Geschäftsbeziehung mit einem Geschäftspartner und Geltendmachung von Schadensersatzforderungen.
Meldungen von Compliance-Verstößen regelmäßig auswerten
Ist ein Compliance Management zur Meldung und Bearbeitung von Hinweisen einmal eingeführt worden, sind nachfolgend regelmäßige Auswertungen empfehlenswert. Welche der Meldekanäle wurden wie häufig genutzt? Wie ist die Entwicklung der Meldungen im Vergleich zum Vorjahr und zu externen Benchmarks? Gibt es thematische oder regionale Schwerpunkte? Hatte die Unternehmensentwicklung oder eine bestimmte Marketingaktion einen Einfluss auf die Quantität oder Qualität der Meldungen? Welche Qualität haben die Hinweise? Sind diese überwiegend anonym und pauschal oder substantiell und relevant?
Die Erkenntnisse aus diesen Auswertungen und der eine oder andere erwähnenswerte Fall sollten dann mit den Mitarbeitern geteilt werden, natürlich ohne dass Rückschlüsse auf einzelne Hinweisgeber möglich wären. Eine offene Kommunikation, dass Meldungen sorgfältig bearbeitet werden und helfen, als Unternehmen besser zu werden, stärkt das Vertrauen in das Hinweisgebersystem.
Wie wir beim Compliance Management von Hinweisen helfen
Wir beraten zusammen mit Kooperationspartnern mittelständische Unternehmen bei der Einführung von Hinweisgeber-Systemen. Darüber hinaus übernehmen wir die Funktion einer externen Meldestelle und übernehmen die Erstbewertung von Hinweisen sowie bei Bedarf die Aufklärung von Compliance-Verstößen. Außerdem unterstützen wir bei der Konzeption, Implementierung und Auditierung von Compliance-Management-Systemen.
„Hinweisgeberschutz ist Heldenschutz ist Unternehmensschutz.“
Dirk Libuda, Co-Founder von DILICOman
Lesen Sie mehr über das Thema Meldestelle oder laden Sie sich unsere 15 Tipps zur Einführung einer Hinweisgeber-Lösung herunter.
Sie möchten noch mehr über unser Angebot wissen? Oder einen Einblick in eine digitale Hinweisgeber-Lösung erhalten? Vereinbaren Sie einfach einen Termin!