Bildnachweis: ©Song_about_summer – stock.adobe.com.

Die COVID-19-Pandemie hat in vielerlei Branchen zu einem Digitalisierungsschub geführt. Im Zeitraffer wurden Prozesse umgestellt und automatisiert. In dem vergleichsweise noch jungen Compliance-Umfeld beschleunigt sich dieser Trend dramatisch – denn die regulatorischen Anforderungen, beispielsweise durch die strengen Vorschriften der EU-Hinweisgeberrichtlinie zum Datenschutz, werden immer komplexer und lassen sich nur mit digitalen Systemen effizient und zuverlässig erfüllen.

Die Anwendungsbereiche für intelligente, automatisierte Workflows in der Compliance sind vielfältig. Es überrascht deshalb, dass laut dem „CMS Compliance-Barometer 2018“ (1) aus dem Mai 2019 gerade einmal knapp die Hälfte der befragten Großunternehmen digitale Tools zur Unterstützung ihrer Compliance-­Prozesse nutzt. Am häufigsten wird danach auf IT-gestützte Freigabeprozesse zur ­Sicherstellung des Vieraugenprinzips, ein digitales Richtlinienmanagement sowie ­einen IT-gestützten Abgleich mit Sanktions- und Terrorlisten zurückgegriffen.

Dagegen ist der digitale Wandel bei ­anderen Aufgaben in den meisten Unternehmen noch nicht vollzogen worden: Die Integritätsprüfung von Geschäftspartnern wird ebenso wie die Genehmigung und Dokumentation von Geschenken, Einladungen und anderen Zuwendungen häufig noch manuell umgesetzt, obwohl sich durch klare Regeln oder Wertobergrenzen auch diese Workflows effizient digital ­abbilden lassen. Das schont nicht nur die Ressourcen, sondern trägt auch zur ­Fehlervermeidung und damit zur zuverlässigen Erfüllung aller Pflichten bei. ­Allerdings besteht hier noch kein regulatorischer Druck.

EU-Hinweisgeberrichtlinie: Der Countdown läuft

Das sieht bei den Hinweisgebersystemen, die Kernbestandteil eines jeden Compliance-Management-Systems (CMS) sind, anders aus. Die EU-Hinweisgeberrichtlinie verlangt, dass Unternehmen mit mehr als 250 Mitarbeitern einen vertraulichen und ­geschützten Meldekanal bereitstellen, um Hinweise auf unethische oder illegale ­Verhaltensweisen wie Geldwäsche oder Datenschutzverletzungen zu ermöglichen – ohne dass die Mitarbeiter Sanktionen bis zur Entlassung oder andere Repressalien befürchten müssen. Die Frist für die ­Einführung eines solchen Meldekanals läuft bereits am 17. Dezember 2021 ab: Schnelles Handeln ist hier also angeraten.

Mittlerweile liegt auch der Entwurf zum deutschen Hinweisgeberschutz­gesetz vor, mit dem die EU-Richtlinie in nationales Recht umgesetzt werden soll. Sehr begrüßenswert ist, dass der deutsche Gesetz­geber noch einen Schritt ­weiter geht als die EU-Direktive, die nur bei Verstößen ­gegen EU-Recht greift: ­Geschützt werden Hinweisgeber auch dann, wenn sie beispielsweise einen ­Betrug aufdecken, also eine Übertretung von nationalem Recht – das wäre nach den EU-Vorgaben nicht der Fall gewesen.

Best Practice vom Gesetzgeber nicht unterstützt

Allerdings fehlt in dem Gesetzentwurf die Verpflichtung, einen anonymen Melde­kanal zur Verfügung zu stellen. Die Möglichkeit, anonym zu melden, nutzten laut „Whistleblowing Report 2019“ (2) bei der Erstmeldung 58% der Hinweisgeber, wenn diese angeboten wird – denn auch der beste gesetzliche Schutz hat keine Auswirkungen darauf, wie intern mit dem Hinweisgeber umgegangen wird, wenn seine Identität bekannt wird. Ob er als „Nest­beschmutzer“ oder „Verräter“ abgestempelt wird, hängt auch vom Compliance-Verständnis im Unternehmen ab.

Wenn anonymes Melden nicht möglich ist, besteht daher die Gefahr, dass wich­tige Hinweise auf Rechtsverstöße oder die Verletzung interner Regeln und Werte die Verantwortlichen gar nicht oder nur in deutlich geringerer Zahl erreichen – oder aber über Umwege und mit deutlicher ­Verzögerung. Dadurch geraten die betroffenen Unternehmen in die Defensive.

Denn nur wer wertvolle Hinweise ­erhält, kann proaktiv und frühzeitig gegen Missstände vorgehen, Risiken minimieren und so den langfristigen Erfolg sowie die Reputation sichern. Viele Organisationen setzen deshalb schon heute auf anonyme Meldewege, die sich längst als Best Practice etabliert haben, um die Zahl der wert­vollen Meldungen zu erhöhen.

Auch bestehende Systeme müssen auf den Prüfstand

Mehr als die Hälfte der im Rahmen des „Whistleblowing Report 2019“ befragten Unternehmen gab an, schon über Melde­kanäle zu verfügen; bei den Großunternehmen waren es sogar fast zwei Drittel – diese Systeme müssen jetzt ebenfalls auf den Prüfstand, denn die EU-Richtlinie enthält auch Details, die bereits etablierte Hinweisgebersysteme betreffen.

Weitere Beiträge aus dem aktuellen GoingPublic Magazin lesen Sie hier.

Da sind beispielsweise die Rückmeldefristen: Spätestens sieben Tage nach Eingang einer Meldung soll der Hinweisgeber eine Eingangsbestätigung erhalten, nach spätestens drei Monaten außerdem eine Rückmeldung zu den geplanten oder ­bereits ergriffenen Maßnahmen – die Einhaltung dieser Fristen muss gewährleistet sein und idealerweise dokumentiert werden.

Eine weitere Vorgabe: Informationen über das Meldeverfahren müssen klar und leicht zugänglich sein, bestenfalls nicht nur für die eigenen Mitarbeiter, sondern auch für Lieferanten, Geschäftspartner und andere Gruppen, die mit dem Unternehmen in Verbindung stehen. In der ­Praxis zeigt sich allerdings, dass nur bei 45% der deutschen Unternehmen mit ­Hinweisgebersystem auch Lieferanten ­Zugang auf die Meldekanäle haben.

Ziel: Daten verknüpfen für ein effizientes Risikomonitoring

Vorrang hat es für Unternehmen ab 250 Mitarbeiter im Moment, rechtskonforme Hinweisgebersysteme einzurichten bzw. die bestehenden Systeme bis zum Ende des Jahres fit für die Herausforderungen der neuen EU-Regulierung zu machen. Aber auch kleinere Gesellschaften ab 50 Mitarbeiter, die erst Ende 2023 unter die EU-Hinweisgeberrichtlinie fallen, sollten diese Herausforderung möglichst frühzeitig in Angriff nehmen, denn bei Verstößen gegen die Verbraucherschutz-Compliance-Richtlinie, die bis zum 28. November 2021 in nationales Recht umgesetzt werden muss, oder das geplante Verbandssanktionengesetz können sich diese Bemühungen in Zukunft strafmildernd auswirken.

Mit einem digitalen Hinweisgeber­system mit integriertem Case Management sind Unternehmen hier auf der sicheren Seite. Nur so kann der Hinweisgeber anonym bleiben und dennoch über die verschlüsselte Dialogfunktion weitergehende Fragen beantworten – und das alles DSGVO-konform.

An dieser Stelle ist die Digitalisierung aber bei Weitem noch nicht am Ende: Zahlreiche weitere digitalisierte Tools ­stehen auf der Agenda der Unternehmen. Mittelfristig muss es dann das Ziel sein, die verschiedenen vorherrschenden ­Systeme und Compliance-Prozesse so zu synchronisieren, dass unterschiedliche Daten zu einem Reporting zusammen­gefasst, logisch verknüpft und zu einem umfassenden, effizienten Risikomonitoring aggregiert werden können.

ZUM AUTOR
Christian Hasewinkel, Mitglied der Geschäftsleitung der EQS Group AG, unterstützt Unternehmen bei der Imple mentierung von digitalen Hinweis gebersystemen und anderen digitalen Compliance-Tools.

1) CMS Hasche Sigle (2018): CMS Compliance-Barometer 2018. Repräsentative Studie mit deutschen Großunternehmen.
2) Hauser/Hergovits/Blumer: Whistleblowing Report 2019 (www.whistleblowingreport.de)