Sie sollen also einen internen Meldekanal einführen, wie er nach den EU-Beschlüssen nun auch für nicht-börsennotierte Unternehmen mit mehr als 50 Angestellten oder einem Jahresumsatz von über 10 Mio. EUR verpflichtend ist. Wie sollte dieser aussehen?

Eine rechtsverbindliche Definition hierzu gibt es noch nicht – im Prinzip erfüllen auch Briefkästen, E-Mail-Adressen oder Telefon-Hotlines die Mindestvoraussetzungen. Allerdings sind diese Kommunikationskanäle aus unserer Sicht nicht oder nur eingeschränkt dazu geeignet, die Sicherheit und Anonymität der Hinweisgeber zu gewährleisten. Eine weitere Anforderung lässt sich auch aus dem Whistleblowing Report 2018 der Hochschule Chur in der Schweiz ableiten, denn dieser zeigt, dass die Zahl der Hinweise zunimmt, je einfacher der Zugang zu den Meldekanälen ist.

Wie sieht vor diesem Hintergrund Ihre Best-Practice-Empfehlung aus?

Wir empfehlen die Einrichtung eines digitalen Systems, denn es ist die einzige Option, um vollständig anonym und vertraulich zu kommunizieren – es sind also auch Rückfragen möglich, was die Aufklärung der Tatbestände sehr erleichtern kann. Die Hinweisgeber haben Tag und Nacht Zugriff auf das Tool und können im Idealfall zwischen verschiedenen Sprachschienen wählen. Zudem lassen sich alle Dialoge und Unterlagen zentral und revisionssicher dokumentieren, ganz ohne Rückschlüsse auf die Identität des Hinweisgebers. Es stehen somit auch wichtige Informationen für ein wirkungsvolles Risiko-Screening und die spätere Analyse der gemeldeten Fälle zur Verfügung.

Wenn Gesetzesverstöße oder Missstände gemeldet werden, ist das Kind häufig schon in den Brunnen gefallen und das Management kann nur noch reagieren. Welche Maßnahmen bieten sich zur Prävention an?

Sehr sinnvoll ist es, proaktiv Richtlinien, Arbeitsanweisungen und ähnliche Dokumente einzuführen, um ein Werte- und Regelsystem zu etablieren. Auch diese Prozesse der Richtlinienverwaltung lassen sich sehr einfach digital abbilden. Eine neue Unternehmensanweisung, beispielsweise zum Umgang mit Kundendaten oder zur Internetnutzung, kann so automatisiert an Hunderte oder Tausende Mitarbeiter gesendet werden, die den Empfang und die Kenntnisnahme dann mit einem Klick bestätigen können. Gleichzeitig bieten sich bei vielen Themen Online-Schulungen zur Vertiefung der Inhalte an.

Mit der Veröffentlichung der EU-Richtlinie zum Hinweisgeberschutz bleiben den Mitgliedstaaten zwei Jahre, um diese in nationales Recht umzusetzen. Ihr Rat: Wie sollten Unternehmen diese Zeit nutzen?

Es ist wichtig, eine Compliance-Kultur zu etablieren, die auch von der Führungsebene aktiv vorgelebt wird – damit kann man gar nicht früh genug beginnen. Die erfolgreiche Implementierung eines Hinweisgebersystems hängt stark von der Akzeptanz der Mitarbeiter ab, deshalb ist es auch wichtig, die Prozesse und Compliance-Maßnahmen klar und transparent zu kommunizieren.

Moritz Homann ist Managing Director Corporate Compliance bei der EQS Group. Er berät Unternehmen unter anderem bei der Etablierung von digitalen Hinweisgebersystemen.

Das Interview führte Robert Steiniger. Der Artikel erschien zuerst in der April-Ausgabe des GoingPublic Magazins.

Titelfoto: pathdoc- stock.adobe.com

Über den Autor

Svenja Liebig ist Redakteurin des GoingPublic Magazins sowie verantwortlich für goingpublic.de