Wie funktioniert ein hochwertiges und effizientes Hinweisgebersystem?
Bereits Ende 2019 trat die Europäische Richtlinie zum Hinweisgeberschutz (RL EU 2019/1937) in Kraft. Sie definiert Maßnahmen, die einen einheitlichen Schutz von Hinweisgebern in Europa sicherstellen sollen. Mit den Schutzmaßnahmen korrespondieren Pflichten für Unternehmen und die öffentliche Hand.
Jedes Unternehmen ab 50 Mitarbeitern muss auf Grundlage der Richtlinie künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Bei der Abgabe der Meldung muss die Vertraulichkeit des Inhalts sowie der Identität des Hinweisgebers geschützt sein. Bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderungen der DSGVO beachtet werden.
Vertragsverletzungsverfahren eingeleitet
Die Richtlinie hätte von Deutschland bis zum 17.12.2021 in nationales Recht umgesetzt werden müssen. Dies ist bisher nicht passiert. Nach der Überschreitung der Umsetzungsfrist hat die EUKommission im Januar 2022 ein Vertragsverletzungsverfahren gegenüber Deutschland eingeleitet. Die amtierende Regierungskoalition hat sich in ihrem Koalitionsvertrag dazu verabredet, die Anforderungen der EU-Richtlinie praktikabel umzusetzen. Seit dem 06.04.2022 liegt nun ein neuer Entwurf eines deutschen Hinweisgeberschutzgesetztes vor bezüglich dessen das Bundesjustizministerium eine Beschlussfassung im Juni 2022 anstrebt.
Mindeststandards sind verbindlich
Unabhängig vom Ausgang der Abstimmung des Gesetzesentwurfes ist allerdings jetzt schon klar, dass die Regelungen der EURichtlinie den Mindeststandard definieren. Über das nationale Gesetz können allenfalls noch mehr Pflichten dazukommen, keinesfalls kann es aber unter dem Inhalt der Richtlinie zurückbleiben. Insofern empfiehlt es sich für Unternehmen, die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals zu nutzen. Wenn das deutsche Gesetz erst einmal umgesetzt ist, sind Fristen für die Implementierung zu erwarten und es steht in Aussicht, dass bei Nichtumsetzung ein Bußgeld droht.
Fortlaufend geschützter Dialog
Die Richtlinie definiert nicht nur die Pflicht, einen internen Meldekanal einzurichten, sondern sie macht auch Maßgaben für die Funktionalitäten, die ein Meldekanal aufweisen muss. Das ist eine Neuerung im deutschen Recht, denn auch wenn es schon bisher in vereinzelten Branchen, wie z.B. in der Finanzbranche, Verpflichtungen zur Einrichtung eines Hinweisgebersystems gab, so war bisher die inhaltliche Ausgestaltung im Wesentlichen frei und es existierten keinerlei gesetzliche Rahmenvorgaben diesbezüglich.
Konkret verlangt die EU-Richtlinie:
- Vorhaltung eines internen Meldekanals für alle Unternehmen mit 50 oder mehr Beschäftigten
- Wahrung der Vertraulichkeit der Identität des Hinweisgebers
- Einrichtung der Möglichkeit zur schriftlichen oder mündlichen Kommunikation
- Rückmeldung an den Hinweisgeber als Eingangsbestätigung (innerhalb max. 7 Tagen)
- Rückmeldung an den Hinweisgeber über Folgemaßnahmen (innerhalb von max. 3 Monaten)
Durch die Vorgabe, dass der Hinweisgeber in jedem Fall eine Rückmeldung zu seinem Hinweis zu bekommen hat, wird eine Kernfunktion des Hinweisgebersystems definiert. Hinweisgebersysteme, die den Maßgaben der EU-Whistleblowing Richtlinie gerecht werden, müssen dialogfähig sein!
Es muss möglich sein, mit dem Hinweisgeber fortlaufend Kommunikation zu führen und während der gesamten fortlaufenden Kommunikation muss die Vertraulichkeit des Hinweises und der Identität des Hinweisgebers gewährt bleiben.
Der Entwurf des Hinweisgeberschutzgesetzes sieht darüber hinaus vor, dass auf Wunsch des Hinweisgebers auch die Hinweisabgabe im Rahmen eines persönlichen Treffens ermöglicht werden muss – auch das natürlich unter Wahrung der Vertraulichkeit.
Welcher Kommunikationskanal passt zum Unternehmen?
Es stellt sich nun die Frage, mit welchem Hinweisgebersystem diese Anforderungen rechtlich sicher und für das Unternehmen praktikabel abgedeckt werden können. Grundsätzlich stehen im Rahmen von Hinweisgebersystemen verschiedene Kommunikationskanäle zur Verfügung. Entscheidend ist, dass der von Ihnen ausgewählte Kanal zur Organisation und Kultur in Ihrem Unternehmen passt. Viele Unternehmen wählen auch mehrere Kommunikationskanäle, um den Bedürfnissen der Hinweisgeber gerecht zu werden und um auch der Richtlinienvorgabe, dass Mitteilungen schriftlich oder mündlich möglich sein sollten, gerecht zu werden.
Einbahnstraße Compliance-Briefkasten
Der anonyme Compliance-Briefkasten, so wie er noch heute in einer Vielzahl von Unternehmen als einfache Lösung praktiziert wird, dürfte an dieser wohl Stelle ausgedient haben. Die Möglichkeit für den Mitarbeiter, mittels eines anonymen Schreibens sein Anliegen über den Compliance- Briefkasten an einen speziell für das Thema zuständige Mitarbeiter zu adressieren ist nur eine Einbahnstraßenlösung. Selbst wenn der Hinweisgeber beim Einwurf des Schreibens eine Kommunikationsmöglichkeit eröffnen würde, indem er beispielsweise eine Rufnummer oder eine E-Mail-Adresse für den Rückkontakt hinterlässt, so erscheint es äußerst schwierig, unter diesen Voraussetzungen die Vertraulichkeit der Identität des Hinweisgebers zuverlässig zu wahren. Das Hinterlassen von Kontaktdaten birgt immer die Gefahr des Rückschlusses auf die Identität. Außerdem verursacht eine solche Lösung einen sehr hohen Aufwand, da zu überlegen ist, wie man mit diesen Informationen, die einen möglichen Rückschluss auf den Hinweisgeber zulassen, umgeht, um seine Identität fortgesetzt zu schützen.
Anruf beim Ombudsmann
In vielen Unternehmen sind klassische Ombudsmann-Lösungen implementiert, bei denen ein externer Rechtsanwalt der Ansprechpartner für Mitarbeiter ist. Diese Lösungen ermöglichen ein hohes Niveau an Vertrauensschutz, da sie regelmäßig so ausgestaltet sind, dass der Hinweisgeber auf den Schutz der Vertraulichkeit im Gespräch mit dem externen Rechtsanwalt vertrauen darf und dieser Information über den Hinweis nur dann an das Unternehmen weitergibt, wenn der Hinweisgeber damit einverstanden ist. Da diese Lösungen ausschließlich auf die persönliche Erreichbarkeit abstellen, limitieren sie sich an anderer Stelle. Selbst bei überdurchschnittlicher Erreichbarkeit der externen Rechtsanwälte ergibt sich eine gewisse Begrenzung des kommunikativen Austauschs auf die Tageszeiten, zu denen üblicherweise Geschäftsverkehr stattfindet. Das dürfte viele Hinweisgeber vor die Schwierigkeit stellen, da sie erfahrungsgemäß eher außerhalb ihrer eigenen Kernarbeitszeiten die Möglichkeit zum Austausch ohne Zeitdruck suchen.
Vertraulichkeitsschutz durch digitale Verschlüsselung
Eine Lösung, die diesen Anforderungen gerecht wird, kann in einer digitalen Hinweisgeberplattform liegen. Plattformlösungen haben den Vorteil, dass sie regelmäßig 24 Stunden rund um die Uhr und 7 Tage die Woche erreichbar sind. Das heißt, dass der Hinweisgeber immer genau in dem Moment, in dem er für sich persönlich die Zeit findet, seine Gedanken zu sortieren, den Kommunikationskanal ansteuern kann. Weiter bieten digitale Plattformlösungen die Möglichkeit, die Sicherstellung der Vertraulichkeit des Hinweises technisch durch hochwertige Verschlüsslungstechniken zu unterstützen. Durch eine Ende-zu-Ende Verschlüsselung kann dem Hinweisgeber höchster Vertrauensschutz gewährt werden. Eine qualitativ hochwertige Plattformlösung funktioniert so, dass der Hinweisgeber sich dort ein elektronisches Postfach einrichten kann, ohne dass er sich an irgendeiner Stelle registrieren muss. Er erhält vielmehr einen systemseitig generierten Zugangsschlüssel und ein Passwort, mit dem er fortlaufend im Austausch bleiben kann, das heißt über ein digitales Hinweisgeberportal ist neben dem Schutz der Vertraulichkeit sogar ein Angebot zur anonymen Kommunikation gegeben.
Wer bearbeitet eingehende Hinweise?
Stellt sich die Frage, wer als Empfänger hinter dem digitalen Hinweisgeberportal sitzen sollte. Dazu gibt es zwei denkbare Varianten. Zum einen kann das Hinweisgebersystem so ausgestaltet sein, dass die Hinweise, die über den digitalen Kanal eingehen, von einem Mitarbeiter im Unternehmen selbst empfangen werden. Bezüglich dieses Hinweisempfängers macht die Richtlinie die Vorgabe, dass der Mitarbeiter unabhängig, das heißt frei von Interessenkonflikten, sein muss. Gerade im Mittelstand ist das ein sehr schwieriger Spagat, da regelmäßig nicht davon auszugehen ist, dass allein die Betreuung der Hinweisgeberstelle eine Mitarbeiterkapazität voll ausfüllen kann. Außerdem schreibt die Richtlinie vor, dass dieser Mitarbeiter regelmäßig zu schulen ist. Das heißt hier entsteht eine laufende Fortbildungsverpflichtung.
Wenn die Staatsanwaltschaft klingelt
Weiter ist zu beachten, dass in dieser Lösung die Informationen immer in der Sphäre des Unternehmens eingehen. Das heißt sobald der Hinweis über das Hinweisgeberportal abgegeben wurde, ist sein Inhalt eine Information des Unternehmens. Sollte der Sachverhalt parallel zur Kenntnis der Strafverfolgungsbehörden gelangen, z.B. weil derselbe oder weitere Hinweisgeber die ebenfalls von den Landeskriminalämtern vorgehaltenen digitalen Meldeportale nutzen, so unterliegen die im Unternehmen eingegangenen Informationen dem nahezu uneingeschränkten Zugriff der Strafverfolgungsbehörden. Hier sind sowohl die Beschlagnahme von Unterlagen denkbar als auch Zeugenvernehmungen in dem Fall, dass ein Ermittlungsverfahren gegen Verantwortliche des Unternehmens eingeleitet wird.
Vertrauensanwalt mit Zeugnisverweigerungsrecht
In der zweiten Variante verbleiben die Informationen bei externen Rechtsanwälten (sog. Vertrauensanwälten oder Ombudsmann), die die Bearbeitung der über die Plattform eingehenden Hinweise für das Unternehmen übernehmen. Im Rahmen einer Mandatsbeziehung bestehen besondere Schutzrechte, die geeignet sind, vor einer Beschlagnahme von Unterlagen zu schützen und zum anderen stehen Rechtsanwälten resultierend aus ihrer berufsrechtlichen Schweigepflicht gegenüber den Strafverfolgungsbehörden Zeugnisverweigerungsrechte zu. Hierdurch erhält der Schutz des Hinweisgebers und der Information eine wesentlich höhere Schutzqualität als in der ersten Variante, wo die Hinweise direkt im Unternehmen eingehen. Eine Lösung für die Erfüllung der Anforderungen der EU-Hinweisgeberrichtlinie könnte also darin bestehen, eine Hinweisgeberlösung einzuführen, bei der das Unternehmen von externen Rechtsanwälten betreut wird, diese aber den Mitarbeitern neben den herkömmlichen Kommunikationswegen auch eine digitale Plattform anbieten.
Das Beste aus zwei Welten
Über diesen Weg kann sich das Unternehmen eine sehr hochwertige Lösung schaffen, die die Vorteile eines digitalen Hinweisgebersystems mit der besonderen Vertrauensstellung von Rechtsanwälten verbindet. Da mit den externen Rechtsanwälten sogleich Nachrichtenempfänger hinter dem System stehen, die alle Anforderungen der Richtlinie erfüllen, nämlich vom operativen Geschäft des Unternehmens unabhängige und geschulte Experten auf dem Gebiet Compliance sind, hilft diese Lösung ganz besonders den mittelständigen Unternehmen, die Pflichten aus der EU-Richtlinie unkompliziert und zuverlässig zu erfüllen.
Dilemma-Situation auflösen
Der hochwertige Schutz für den Hinweisgeber bedeutet zugleich einen hochwertigen Schutz ihres Unternehmens vor Regelverstößen. Die Erfahrung zeigt, dass Hinweisgeber, die mit ernsten guten Absichten zum Schutz des Unternehmens handeln, deutlich früher kommunizieren, wenn sie die Möglichkeit haben, einen Austausch über ihren Hinweis mit einem Ansprechpartner zu finden, der außerhalb des Unternehmens steht. Das erklärt sich damit, dass ein ehrlicher Hinweisgeber, der Missstände im Unternehmen abstellen möchte, eine hohe Loyalität zum Unternehmen und zu den Kollegen aufweist. Das führt dazu, dass der Hinweisgeber, auch wenn er Beobachtungen macht, die für ihn auf einen Missstand hindeuten, sorgfältig abwägt, ob er mit seiner Aussage möglicherweise Kollegen schaden kann, wenn z.B. ein Missverständnis vorliegt. Der Hinweisgeber befindet sich in einer klassischen Dilemma-Situation. Dieses Dilemma auflösen kann am besten ein externer Ansprechpartner. Mit diesem hat der Hinweisgeber die Möglichkeit, sein Anliegen auszutauschen und kann von einem Experten eine rechtliche Einschätzung erfahren, ob das von ihm Beobachtete, vorausgesetzt es entspricht der Wahrheit, tatsächlich einen relevanten Regelverstoß darstellt. Wenn der Hinweisgeber die Möglichkeit hat, diesen fachlichen Austausch zu finden und erhält eine positive Rückmeldung diesbezüglich, dann festigt das in der Regel den Entschluss des Hinweisgebers, die Information an das Unternehmen weiterzugeben. Die ursprüngliche Motivation des Hinweisgebers zur Kontaktaufnahme ist, dass er aufgrund seiner Loyalität zum Unternehmen erreichen möchte, dass Missstände abgestellt werden, damit das Unternehmen keinen Schaden nimmt. Deshalb wird er in diesem Fall auch der Weitergabe der Informationen an das Unternehmen zustimmen, um eine interne Aufarbeitung und Beseitigung des Missstandes zu erreichen.
Ein weiterer Vorteil einer kombinierten Lösung ist, dass mit dem digitalen Kommunikationskanal den Mitarbeitern ein sehr niederschwelliges Angebot zum Beginn der Kommunikation gemacht werden kann. Derartige Lösungen sind regelmäßig über eine Webseite abrufbar, so dass den Mitarbeitern einfach ein Link zur Verfügung gestellt werden kann, über den das Hinweisgebersystem erreicht werden kann. Wie für alle Compliance-Maßnahmen gilt auch im Hinblick auf den Hinweisgeberschutz, dass der Erfolg wesentlich davon abhängt, dass die Maßnahme mit einem „Tone from the top“ von der Geschäftsführung ins Unternehmen getragen wird. Nur so können eventuelle Vorbehalte von Führungskräften im mittleren und unteren Management abgebaut werden und können die Mitarbeiter von der schützenden Wirkung des Hinweisgebersystems überzeugt werden.
Im Gegensatz zur internen Besetzung der Stelle fallen bei derartigen Lösungen häufig nur geringe Monatspauschalen für die Bereitstellung der technischen Anbindung zur Verfügung, während Kosten für die externen Unterstützung erst dann entstehen, wenn auch tatsächlich Hinweise eingehen. So funktioniert die Umsetzung der EU-Richtlinie effizient, kostengünstig und mit höchstem Vertrauensschutz.