Herr Leisering, warum sollte ein Unternehmen überhaupt Geld in die Hand nehmen, um ein Hinweisgebersystem für die berühmten „Whistleblower“ einzurichten?
Hinweisgebersysteme sind zwar nur in wenigen Bereichen rechtlich verpflichtend. Mittlerweile wird aber trotzdem immer häufiger von Unternehmen erwartet, dass sie Compliance-Strukturen schaffen. Zum Beispiel von Lieferanten, die ihre Abnehmer entsprechende Erklärungen unterschreiben lassen – oder auch bei der öffentlichen Ausschreibung von Aufträgen, die solche Strukturen zur Voraussetzung für den Zuschlag machen.
Gibt es unterschiedliche Wege, um diesen Anforderungen gerecht zu werden?
Es gibt eine ganze Fülle von Spielarten. Manche Unternehmen hängen nur einen Briefkasten auf oder richten eine E-Mail-Adresse ein, andere geben eine Telefonnummer bekannt, unter der Mitarbeiter Auffälligkeiten melden können. Das Problem ist aber oft, dass die Mitarbeiter solchen kleinen Lösungen nicht vertrauen und sie dann auch nicht nutzen.
Wie kann die Geschäftsführung das ändern?
Das Wichtigste ist, Anonymität zu garantieren. Ist der Mitarbeiter sicher, dass seine Meldung vertraulich behandelt wird und weiß er außerdem, auf welchem Weg sie bearbeitet wird, sinkt die Gefahr, dass er sein Wissen anderweitig preisgibt – zum Beispiel gegenüber Behörden oder Medien. Zwei Varianten haben sich hier etabliert: Die eine ist die Einschaltung einer externen Ombudsperson, die andere ein internetbasiertes Portal, das rund um die Uhr erreichbar ist und auch einen vertraulichen und anonymen Dialog zwischen Hinweisgeber und Hinweisbearbeiter im Unternehmen ermöglicht.
„Internationale Unternehmen müssen besonders auf Datenschutz achten“
Eignen sich beide Varianten für jedes Unternehmen?
Welche Variante für das eigene Unternehmen passt, hängt von verschiedenen Faktoren ab. Es gibt dabei auch nicht nur Schwarz und Weiß: Ich sehe bei deutschen Unternehmen häufig, dass sie einen Ombudsmann einschalten und das System später um eine Internetplattform ergänzen. Gerade bei international tätigen Unternehmen sind in der Regel elektronische Systeme sinnvoller als eine rein personenbezogene, mit denen eine weltweite Verfügbarkeit 24/7 kaum gewährleistet werden kann. Elektronische Systeme machen es außerdem leichter, eine mehrsprachige Anlaufstelle zu schaffen und gleichzeitig darauf zu achten, dass die Datenschutzvorschriften verschiedener Länder beachtet werden. Mit einem Ombudsmann alleine können diese Anforderungen kaum glaubwürdig abgedeckt werden.
Unabhängig von der Art des Systems – worauf müssen Unternehmen achten, wenn das Hinweisgebersystem seinen Zweck erfüllen soll?
Mit das Wichtigste ist, dass das System höchsten Anforderungen an Datenschutz und Datensicherheit gerecht wird. Als Indiz für die Sicherheit einer Anwendung dienen regelmäßige Sicherheits- und Penetrationstests durch unabhängige IT-Experten und freiwillige Datenschutzzertifizierungen. Außerdem muss die Anonymität des Hinweisgebers geschützt werden – auch vor dem Zugriff Dritter. Und: So ein Projekt funktioniert nicht ohne passende Kommunikationsmaßnahmen. Das Unternehmen muss die Mitarbeiter immer wieder darüber informieren, welche Möglichkeiten sie durch das Meldesystem haben und welchem Zweck der Einsatz eines solchen Systems dient. Ganz wichtig ist auch der Betriebsrat: Will man für bestimmte Vorgänge eine Meldepflicht schaffen, muss er ohnehin dabei sein. Aber auch wenn die Meldungen freiwillig abgegeben werden können, ist es gut, wenn der Betriebsrat von Anfang an mit am Tisch sitzt. Er kann das Thema dann in die Belegschaft tragen, mit dafür sorgen, dass es positiv besetzt ist und somit die Voraussetzung schaffen, dass das System akzeptiert und genutzt wird.
„Der CFO muss auch auf das persönliche Haftungsrisiko achten“
Viele Unternehmen haben aber immer noch Angst, durch ein Hinweisgebersystem die Mitarbeiter zum gegenseitigen „Anschwärzen“ zu ermutigen. Ist das berechtigt?
Ich höre von dieser Sorge immer seltener. Da hat in den vergangenen Jahren ein spürbarer Reifeprozess eingesetzt. Viele Unternehmen, die eine Meldestelle eingerichtet haben, haben ausschließlich positive Erfahrungen gemacht und tauschen sich darüber auch mit anderen aus. Außerdem können die Unternehmen zu einem großen Teil selbst dafür sorgen, dass keine unerwünschten Sachverhalte gemeldet werden.
Wie das?
Sie müssen klar definieren, welche Themen die Mitarbeiter über die Meldestelle ansprechen können. Im ersten Schritt sind das automatisch die typischen Legal-Compliance-Themen: Wettbewerbsverstöße und Korruption. Im zweiten Schritt können dann auch „weiche“ Themen einbezogen werden, zum Beispiel Arbeitszeitverstöße, Datenschutzthemen oder Verstöße gegen interne Regeln.
Lässt sich so ein System auch einrichten, wenn ein Unternehmen noch nicht über ein umfassendes Compliance-Management-System verfügt?
Natürlich. Manche Unternehmen starten den Aufbau mit einer Meldestelle. Andere setzen damit in einem späteren Stadium das i-Tüpfelchen auf die Compliance-Organisation. Dazwischen ist jeder Weg denkbar. Nur sollte dem Management immer klar sein, dass es auch im persönlichen Interesse ein adäquates Compliance-System schaffen muss. Seit dem Urteil gegen den früheren Siemens-CFO Heinz-Joachim Neubürger ist klar, dass der Vorstand persönlich haften kann, wenn er nicht für geeignete Strukturen sorgt – und damit sind auch Hinweisgebersysteme gemeint. Außerdem sinkt mit der Einrichtung einer glaubwürdigen internen Compliance-Lösung auch die Gefahr einer anderweitigen Veröffentlichung über einschlägige Leak-Plattformen, die Medien oder die Behörden.
Info
Kai Leisering ist Vorstand des Compliance-Lösungsanbieters Business Keeper mit Sitz in Berlin.