Bildnachweis: vchalup – stock.adobe.com.

Ein Hinweisgebersystem ist Kernbestandteil eines jeden Compliance-Management-Systems (CMS) – doch nur richtig implementiert, organisiert und kommuniziert erzielt ein vertraulicher Meldekanal die gewünschte Wirkung und unterstützt die Aufdeckung von Compliance-Verstößen. Für Unternehmen, die nicht über das erforderliche technische Know-how und die juristischen Fachkenntnisse verfügen, könnte eine ganzheitliche IT-basierte Compliance-Lösung, bestehend aus einem vertraulichen Meldekanal und einem umfassenden Case Management, die richtige Wahl sein. Von Dr. Bernd Federmann, Antonia Kirchmann und Moritz Homann

Noch knapp zwei Jahre haben Unternehmen ab 50 Mitarbeitern und juristische Personen der öffentlichen Hand in der Europäischen Union Zeit, um die Anforderungen der am 16. Dezember 2019 in Kraft getretenen „Richtlinie des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (EU-Hinweisgeberrichtlinie) zu erfüllen und ein Hinweisgebersystem einzurichten – falls sie nicht wie Kredit- und Finanzdienstleistungsinstitute (§ 25a KWG) oder Versicherungen (§ 23 VAG) durch branchenspezifische Vorschriften bereits dazu verpflichtet sind. Teilweise sind Hinweisgebersysteme wie in den USA (Guidance des Department of Justice / Sarbanes-Oxley Act), im United Kingdom (Bribery Act) oder in der Europäischen Union (EU-Marktmissbrauchsverordnung) auch schon durch länderspezifische Regelungen vorgeschrieben.

Transparenz und Vertrauen sind entscheidend

Zwei Jahre? Das hört sich nach ausreichend Zeit an. Doch die Verantwortlichen in den Unternehmen sollten bedenken, dass es nicht nur um die Implementierung einer IT-Lösung geht. Der Erfolg eines Hinweisgebersystems hängt maßgeblich von der Transparenz und dem Vertrauen der Mitarbeiter in die handelnden Personen im Unternehmen ab. Entscheidend ist, wie die Verantwortlichen mit Hinweisgebern umgehen und diese schützen. Denn Mitarbeiter, die Angst vor Sanktionen haben, werden keine Missstände melden. Deshalb kann mit der Etablierung einer Compliance-Kultur und der Implementierung eines Hinweisgebersystems, das in das ComplianceManagement-System eingebettet ist, gar nicht früh genug begonnen werden.

Die Geschäftsleitung steht durch die EU-Hinweisgeberrichtlinie vor einigen Herausforderungen. Eine ist die aus der sanktionsbewehrten Pflicht zur Vermeidung von Rechtsverstößen folgende Organisationspflicht. Diese schreibt vor, eine ausreichende Kontrolle des Unternehmenshandelns zu ermöglichen. Wesentliche Voraussetzung dafür ist, den internen Informationsfluss und die Kommunikation so zu organisieren, dass das Management alle risikorelevanten Informationen erhält. Dazu gehört aber auch die Pflicht, die Voraussetzungen für die Aufdeckung von Compliance-Verstößen („Detect“) und die ermessensfehlerfreie Reaktion darauf („Respond“) zu schaffen.

Veränderung der internen Prozesse

Ein digitales Hinweisgebersystem, das eine anonyme und sichere Kommunikation mit den Hinweisgebern erlaubt, ist folglich Kernbestandteil eines jeden ComplianceManagement-Systems, bei dessen Implementierung und Betrieb allerdings viele Aspekte zu berücksichtigen sind:

  • Design und Komplexität des Operating Model,
  • internationale Abstimmung und Koordination,
  • Entwurf und konzernweite Umsetzung von Richtlinien,
  • Definition der Verfahrensgrundsätze und -prinzipien,
  • Beachtung von Handlungs- und Reaktionspflichten,
  • Einhaltung der Mitbestimmungsrechte von Arbeitnehmervertretungen,
  • Schutz des Hinweisgebers und der betroffenen Person,
  • Beachtung von Vertraulichkeit und Geheimhaltung,
  • Sicherstellung von Datensicherheit und Datenschutz,
  • Organisation des Case Management und Tracking,
  • Berücksichtigung von Sprachanforderungen und Übersetzungen,
  • Einhaltung von Dokumentationspflichten,
  • Definition einer zielgruppenadäquaten Kommunikation,
  • Durchführung von Schulungen sowie Angebot von Informationsveranstaltungen

Hier gilt es für die Geschäftsleitung und die Compliance-Verantwortlichen, die eigenen Bedürfnisse genau zu analysieren, um eine maßgeschneiderte Lösung zu finden. Anschließend muss die Frage beantwortet werden, ob man sich angesichts der komplexen Anforderungen die In-house-Implementierung und vor allem den Betrieb eines solchen Systems zutraut. Denn damit sind auch einschneidende Veränderungen der internen Prozesse verbunden.

Wenn dies nicht der Fall ist, gilt es, die richtigen Partner auszuwählen, um passgenaue Unterstützung zu finden. Anwaltskanzleien bieten in Zusammenarbeit mit Technologieanbietern Full-Service-Lösungen, die mit der Implementierung des Hinweisgebersystems, das die Anforderungen an ein effizientes Case Management erfüllt, beginnen.

Darüber hinaus liefern interdisziplinär aufgestellte Expertenteams umfassende Unterstützung beim Betrieb des Systems – vom Hinweiseingang über interne Untersuchungen bis hin zur Vertretung in Gerichtsverfahren. Es können so weltweit und aus einer Hand alle technischen und rechtlichen Aspekte rund um das Thema Whistleblowing abgedeckt werden. Der modulare Ansatz solcher Angebote ermöglicht es aber auch, sich Unterstützung nur für bestimmte Bereiche zu sichern, beispielsweise für die Fallbearbeitung inkl. gerichtlicher oder außergerichtlicher Vertretung oder für die forensischen Untersuchungen.

Rechtskonforme Umsetzung

Mit einem End-to-End-Beratungsansatz, wie ihn KPMG Law und die EQS Group anbieten, erhalten Unternehmen aller Größen und Branchen strategisch und operativ in sämtlichen Fragen zum Einsatz von Hinweisgebersystemen Unterstützung, national und international. Sie werden durch die fachgerechte Umsetzung eines wesentlichen Bausteins eines CMS ihrer ComplianceVerantwortung gerecht und können darauf vertrauen, dass beispielsweise auch die Anforderungen des Datenschutzes rechtskonform umgesetzt werden.

Dieser Artikel erschien zuerst am 28. März in unserem Jahres-Special Corporate Finance Recht 2020.

Über den Autor

Dr. Bernd Federmann

Rechtsanwalt Dr. Bernd Federmann ist Partner für Compliance, Governance & Organisation sowie Standortleiter der KPMG Law in Stuttgart. Er verantwortet zudem den Bereich Compliance im ganzen Raum Süd/Südwest.

Moritz Homann

Moritz Homann verantwortet bei der EQS Group den Produktbereich Corporate Compliance. Er doziert außerdem an der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) zum Thema Digitalisierung im Compliance-Bereich.

Antonia Kirchmann

Rechtsanwältin Antonia Kirchmann ist für den Bereich Compliance bei der KPMG Law in München zuständig. Sie ist als Teil der Praxisgruppe Compliance, Governance & Organisation tätig.