Ganz einfach und kurz gesagt: um Risiken im Unternehmen frühzeitig zu identifizieren und rechtzeitig Maßnahmen ergreifen zu können.
Je früher ein regelwidriges Verhalten entdeckt wird, desto höher ist die Chance, dieses abzustellen, die Prozesse zu verbessern und dabei das Ruder in der Hand zu behalten.
Kann ein Hinweisgeber auf eine offene und vertrauensfördernde Unternehmenskultur und einen geeigneten Meldekanal im Unternehmen zugreifen, so wird er in der Regel versuchen, den erkannten Missstand intern zu melden, statt sich damit an die Öffentlichkeit oder die Behörden zu wenden.
Je einfacher und geschützter der Hinweisgeber eine interne Meldung ohne Angst vor Repressalien vornehmen kann, desto höher ist die Wahrscheinlichkeit, dass das Unternehmen zu einem frühen Zeitpunkt Missstände aufdecken, proaktiv handeln und somit potenzielle Vermögens- und/oder Reputationsschäden noch verhindern oder zumindest minimieren kann.
Ein gut etabliertes und funktionierendes Hinweisgebersystem stellt einen Bestandteil der Frühwarnfunktionen im Risikomanagement des Unternehmens dar. Durch die Möglichkeit der internen Aufdeckung potenzieller Pflichtverletzungen und Verstöße ist es vor allem ein wesentlicher Baustein eines wirksamen Compliance-Management-Systems.
Whistleblowing und Hinweisgebersysteme - warum auch KMU sich hiermit befassen sollten
Was bedeutet Whistleblowing und was ist ein Hinweisgeber?
Der Begriff kommt aus dem Angelsächsischen. „To blow the whistle“ bedeutet sinnbildlich „etwas zu enthüllen“, „Alarm schlagen“, „etwas aufzudecken“. Bereits 1971 wurden in den USA durch einen Hinweisgeber (engl.: Whistleblower) die geheimen Pentagon-Papiere, welche die Täuschung der Öffentlichkeit über den Vietnamkrieg enthüllten, an die Öffentlichkeit gebracht. Spätestens seitdem Edward Snowden im Jahr 2013 die Informationen zu geheimen Überwachungsprogrammen veröffentlicht hat, ist der Begriff Whistleblowing auch bei uns in aller Munde.
Auf deutsche Unternehmen übertragen ist ein Whistleblower oder Hinweisgeber eine Person, die eine regelwidrige Handlung im Unternehmen, wie z.B. illegales oder unethisches Verhalten oder Verstöße gegen Rechtsnormen, erkennt und diesen Missstand offenlegen möchte. Hierbei kann es sich um Beschäftigte des Unternehmens handeln, oder auch um andere Personen, wie z.B. Kunden, Geschäftspartner und andere Stakeholder.
Warum sollte jedes Unternehmen über ein Hinweisgebersystem verfügen?
Eine Umfrage der Association of Certified Fraud Examiners (ACFE) im Jahr 2018 (ACFE report to the nations) hat ergeben, dass Unternehmen mit einem Hinweisgebersystem im Schnitt einen um 50% geringeren Schaden erlitten haben als Unternehmen ohne Hinweisgebersystem.
Nicht zuletzt unterstreicht ein Hinweisgebersystem auch in der Außendarstellung die Integritätskultur eines Unternehmens.
Die EU-Whistleblower-Richtlinie
Noch bestehen in Deutschland nur für einen sehr eingeschränkten Kreis von Unternehmen Rechtsnormen zum Vorhalten eines Hinweisgebersystems. Dies wird sich in Kürze ändern.
Am 23.10.2019 hat die EU den Schutz von Whistleblowern in Europa mit der Richtlinie EU 2019/1937 („WBRL“) verabschiedet. Diese EU-Richtlinie muss spätestens bis 17.12.2021 in ein deutsches Hinweisgeberschutzgesetz umgesetzt werden. Sinn der WBRL ist in erster Linie der Schutz des Hinweisgebers vor Diskriminierungen und Repressalien. Gleichzeitig etabliert sie aber für eine Vielzahl von Unternehmen Vorgaben zur Implementierung interner Meldekanäle und beinhaltet einen umfassenden Anforderungskatalog an Hinweisgebersysteme.
Auf Unternehmen ab 50 Beschäftigten wird durch die WBRL die Verpflichtung zukommen, ein Hinweisgebersystem zu implementieren, das Beschäftigten und Externen ein sicheres, zuverlässiges, vertrauliches und auch anonymes Meldesystem für bestimmtes rechtswidriges Verhalten bietet. Unternehmen ab 250 Mitarbeitern und Behörden sollten dies bereits zum 17. Dezember 2021 installiert haben, kleinere Unternehmen von 50-249 Beschäftigten haben noch 2 Jahre mehr Zeit.
Bereits vorhandene Hinweisgebersysteme müssen folglich überprüft und gegebenenfalls an die Anforderungen angepasst werden. Unternehmen, die bisher kein Hinweisgebersystem haben, sollten jetzt die Zeit nutzen, dies umzusetzen.
Was ist ein Hinweisgebersystem?
Ein Hinweisgebersystem bildet sinngemäß einen systematischen Prozess ab, bei dem über vorgegebene Meldekanäle geschützte und vertrauliche, je nach Ausgestaltung auch anonyme, Meldungen und Hinweise zu regelwidrigen Verhalten oder Missständen ermöglicht werden.
Für Unternehmen ist es wichtig, den Beschäftigten und auch Dritten, wie Geschäftspartnern und Kunden, einen Kommunikationskanal und ein vertrauenswürdiges System anzubieten, über den beobachtete Missstände oder regelwidriges Verhalten gemeldet werden können. Ein professionell gestaltetes Hinweisgebersystem dient zum einen dem Schutz von Hinweisgebern, gleichzeitig den Rechten der von Hinweisen betroffenen Personen sowie zum anderen der Wahrung der unternehmerischen Interessen an Aufklärung, Verfolgung und Abstellung von Compliance-Verstößen.
Bei der Etablierung eines Hinweisgebersystems sollte das Unternehmen klar definierte Prozesse festschreiben. Wichtig sind hierbei unter anderem die Rechte und Pflichten der Hinweisgeber und der Betroffenen und insbesondere der Schutz des Hinweisgebers vor Repressalien. Der Umgang mit Meldungen sollte fair, transparent und nachvollziehbar gestaltet sein. Aufgrund des hohen Schutzbedürfnisses aller Beteiligten spielen hierbei Vertraulichkeit, auf Wunsch die Wahrung der Anonymität, der Datenschutz und Arbeitnehmerrechte eine herausragende Rolle. Hinweisgeberrichtlinien sollten als Teil der Unternehmenskultur durch die Leitungs- und Führungskräfte gut etabliert sowie offen und transparent kommuniziert werden, um eine hohe Akzeptanz zu erreichen.
Die Meldekanäle müssen so zuverlässig und sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und der Kreis der Zugangsberechtigten so klein wie möglich gehalten wird.
Insbesondere die Wahrung der Anonymität ist hierbei eine sehr herausfordernde Aufgabe, die in der Regel bei rein unternehmensinternen Lösungen an ihre Grenzen stößt.
Hinweisgeberkanäle
Üblicherweise sollte das Unternehmen mehrere Möglichkeiten der Meldung für Hinweisgeber vorhalten, z.B. persönlich bei einer Vertrauensperson, schriftlich, per E-Mail, telefonisch. Das passt, solange eine gute und vertrauensvolle Unternehmenskultur vorherrscht und der Hinweisgeber keine Befürchtungen hat, seine Identität preiszugeben. Die derzeit gängigen und kostengünstigen Varianten sind hierbei z.B. eine unternehmensinterne Rufnummer, Hotline oder E-Mailadresse oder auch ein im Unternehmen aufgestellter Briefkasten.
Beschäftigte, die regelwidriges Verhalten durch einen Kollegen oder die Vorgesetzten beobachteten, sehen jedoch aus Furcht vor negativen Konsequenzen und Repressalien häufig von einer Meldung ab. In diesen Fällen hilft zum einen , diese Vorbehalte durch die Unternehmensleitung auszuräumen und klarzumachen, dass es nicht um Denunziantentum, sondern um den Erhalt der Integrität im Sinne des Unternehmens und aller Beschäftigten geht. Zum anderen sollte eine Möglichkeit bestehen, dass der Hinweisgeber anonym bleiben kann.
Im Fall, dass der Hinweisgeber anonym bleiben möchte, sind die vorgenannten Meldekanäle nicht ausreichend. Spätestens stoßen derartige Lösungen dann an ihre Grenzen, wenn das Unternehmen zu den Verpflichteten zur Einrichtung von Hinweisgebersystemen gemäß der EU-Whistleblower Richtlinie EU 2019/1937 gehört, da sie den Anforderungen der Richtlinie an Wahrung der Vertraulichkeit bzw. Anonymität oder auch zu Rückmeldungen nicht genügen. So kann beispielsweise bei der internen Telefon- /E-Mail-Lösungen in der Regel nicht verhindert werden, dass ein IT-Administrator auf Daten zugreifen kann, ebenso fehlt auch z.B. bei Briefkästen oder Hotlines die notwendige Eingangsbestätigung an den Hinweisgeber sowie die Möglichkeit der Zwei-Wege-Kommunikation im Fortgang.
Aus diesem Grunde ist ein Hinweisgebersystem, das jedem die Möglichkeit gibt, Compliance-Verstöße auf vertraulicher und bei Bedarf auch anonymisierter Basis, an eine externe Ombudsperson oder eine digitale Plattform zu melden, sinnvoll.
Die externe Ombudsperson bietet einen neutralen Meldekanal für Hinweisgeber. Die primäre Aufgabe einer externen Ombudsperson ist es, von einem Hinweisgeber in einer geschützten Umgebung Informationen über das beobachtete Fehlverhalten oder Compliance-Verstöße zu erhalten. Die Ombudsperson sollte permanent erreichbar sein und über juristisches Compliance-Fachwissen verfügen, um gezielt Nachfragen stellen zu können. Der Sachverhalt wird durch die Ombudsperson auf Plausibilität geprüft und mit dem Hinweisgeber eine vertrauliche oder auf Wunsch dauerhaft anonyme Möglichkeit der Zwei-Wege-Kommunikation vereinbart. Der Hinweisgeber kann der externen Ombudsperson vorgeben, Informationen ohne Aufdeckung seiner Identität und in einer Weise an das Unternehmen weiterzuleiten, so dass er nicht identifiziert werden kann.
Digitale Hinweisgebersysteme bieten eine Online-Plattform für Hinweisgeber, über die Meldungen abgegeben werden können. Das Unternehmen erhält Zugriff auf eine Verwaltungsoberfläche, in der die Meldungen verwaltet werden. Über gut aufgebaute Plattformen ist unter Erfüllung aller datenschutzrechtlichen Anforderungen die vertrauliche und vollständig anonyme Kommunikation mit dem Hinweisgeber möglich.
Die Conrisco GmbH (www.conrisco.de) hilft Ihnen bei der Einrichtung eines Hinweisgebersystems entsprechend der bis Ende 2021 umzusetzenden EU-Whistleblower-Richtlinie.
Die von uns präferierte Lösung verbindet eine digitale Hinweisgeberplattform mit den Vorteilen eines auf Compliance spezialisierten Rechtsanwalts als externe Ombudsperson.
Sprechen Sie uns gerne dazu an:
Conrisco GmbH
Beuelsweg 20
50733 Köln
Gabriele Krämer
Tel. +49 151 2897 1212
Christoph Charpentier
Tel. +49 173 248 7457
E-Mail: info(at)conrisco.de
Web: www.conrisco.de