BEITRÄGE COMPLIANCE MANAGEMENT

Wirth/Krause, Whistleblowing – Universelles Instrument der Compliance?

27

CB-BEITRAG Dr. jur. Andreas Wirth, RA, und Dr. jur. Rebekka Krause, RAin

Whistleblowing – Universelles Instrument der Compliance? Whistleblowing ist in aller Munde. Wie viele Anglizismen deckt der Begriff dabei in der deutschen Lebenswirklichkeit eine erhebliche Bandbreite ab. Sie reicht vom Verkauf von Schweizer Steuer-CDs an deutsche Behörden bis zu politischen Skandalen der Geheimdienste. Der nachfolgende Beitrag fokussiert sich auf die engere Facette des Whistleblowing, verstanden als Hinweisgebersystem im Rahmen eines Compliance-ManagementSystems. Vor diesem Hintergrund wird insbesondere auf die rechtliche und praktische Umsetzbarkeit eines Whistleblowing-Systems sowie auch darauf eingegangen, ob nicht bereits in einem Unternehmen vorhandene Institutionen für Whistleblowing genutzt werden können.

I. Einleitung Werden unter Whistleblowing Hinweisgebersysteme verstanden, gelten sie traditionell als gleichsam unabdingbarer Bestandteil eines effizienten Compliance-Management-Systems (CMS). Dies ist sicher zunächst und v. a. den Vorfällen mit US-amerikanischem Hintergrund geschuldet, mit denen Compliance-Fragen in Deutschland und Europa erstmals Aufsehen erregten. Allerdings wurde hierbei meist versucht, die amerikanischen Anforderungen an ein WhistleblowingSystem auf europäische Unternehmen schematisch zu übertragen, wobei die rechtlichen und kulturellen Unterschiede in den verschiedenen Ländern unberücksichtigt blieben. In Deutschland ist seit dem 1.1.2014 in § 25a Abs. 1 S. 6 Nr. 3 KWG eine erste Regelung zu Hinweisgebersystemen gesetzlich verankert worden. Die Vorschrift bestimmt, dass eine ordnungsgemäße Organisation eines von dem Gesetz umfassten Kredit- oder Finanzdienstleistungsinstituts einen Prozess voraussetzt, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität1 ermöglicht, bestimmte dort normierte Gesetzesverstöße sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten. Daneben sieht auch der Bundesverband der Unternehmensjuristen in seinem im April 2014 vorgelegten Gesetzgebungsvorschlag zur Änderung des Ordnungswidrigkeitenrechts in § 130 Abs. 1 Nr. 4 OWiG ein Verfahren vor, das es den Mitarbeitern unter Wahrung der Vertraulichkeit ermöglicht, Hinweise auf mögliche Straftaten oder Ordnungswidrigkeiten, die im Zusammenhang mit dem Geschäftsbetrieb stehen, an eine geeignete Stellte weiterzugeben, als geeignete Maßnahme an, Zuwiderhandlungen gegen straf- oder bußgeldbewehrte Pflichten zu verhindern.2 Damit wurden praktisch Whistleblowing-Systeme als ein wesentlicher Bestandteil eines CMS anerkannt. In diese Zeit hinein veröffentlichte im Mai 2014 das Konstanz Institute of Corporate Governance unter Leitung von Prof. Grüninger die Studie „Leitlinien für das Management von Organisations- und Aufsichtspflichten“.3 Diese setzt sich mit der Frage auseinander, in welcher Weise, abgestuft in vier Größenklassen, Unternehmen ihr CMS

unterschiedlich ausgestalten können. Hierzu werden Unternehmen nach Mitarbeiterzahlen in folgende vier Größenklassen eingeteilt, um möglichst konkrete und spezifische Empfehlungen an Unternehmen sowie weitere Entscheidungsträger, die sich mit der Beurteilung der Funktionsfähigkeit und Angemessenheit von CMS beschäftigen, geben zu können: – Unternehmen mit bis zu ca. 250 Mitarbeitern (erste Größenklasse) – Unternehmen mit ca. 250 bis 3 000 Mitarbeitern (zweite Größenklasse) – Unternehmen mit ca. 3 000 bis 20 000 Mitarbeitern (dritte Größenklasse) und – Unternehmen mit mehr als ca. 20 000 Mitarbeitern (vierte Größenklasse). Die in dieser Studie angestellten Überlegungen sind Ausgangspunkt für den vorliegenden Beitrag. Dieser will zur Diskussion über eine Flexibilisierung der Anforderungen an ein CMS anregen, um fernab der DAX 30-Unternehmen in Deutschland einen Beitrag für handhabbare Compliance-Strukturen im Mittelstand zu leisten. Gegenstand dieser Betrachtung ist zunächst der jeweils rechtliche Rahmen, da es sich von selbst versteht, dass ein System zur Aufdeckung und Verhinderung von Rechtsverstößen selbst rechtmäßig sein muss. Schon dieser Aspekt wird aufzeigen, dass die US-amerikanischen hohen Anforderungen an ein Whistleblowing-System keineswegs ohne weiteres auf die Vielfalt der europäischen Rechtsordnungen übertragbar sind.

1

2 3

Dieser Begriff der „Vertraulichkeit der Identität“ ist sicher weiter zu verstehen als „Anonymität“. Wo allerdings genau die Grenze verläuft, bzw. ob diese nicht vor dem Hintergrund der sehr unterschiedlichen rechtlichen Ausgangslage in den EU-Staaten bewusst offen gehalten wurde, bleibt zunächst unklar; s. dazu auch Fn. 14. www.buj.net/resources/Server/BUJ-Stellungnahmen/BUJ_Gesetzgebungsvorschlag_OWiG.pdf (Abruf: 19.12.2014). www.htwg-konstanz.de/Compliance-Pflichten.6958.0.html (Abruf: 19.12.2014).

Compliance-Berater | 1–2/2015 | 27.1.2015

28

BEITRÄGE COMPLIANCE MANAGEMENT

Daneben wird unter Heranziehung des Telos eines Hinweisgebersystems aber auch mit dem klassischen risikobasierten Ansatz versucht, Differenzierungsmöglichkeiten zu schaffen. Sodann wird darauf eingegangen, welche Probleme Whistleblowing-Systeme in der Praxis aufweisen und ob nicht auch bereits in einem Unternehmen vorhandene Institutionen für Whistleblowing genutzt werden können. Um in einem ersten Schritt Klarheit über den Gegenstand dieser Betrachtung zu erhalten, sind all dem eine Definition des Whistleblowingoder Hinweisgebersystems sowie die Gründe, die für die Etablierung eines solchen Systems sprechen, voranzustellen.

II. Was ist Whistleblowing? Instrumente des CMS sind Hinweisgebersysteme, WhistleblowingSysteme oder Speak-up-Hotlines. Diese Maßnahmen gehören zur „Detect“-Säule4 der Compliance und dienen damit der Aufdeckung und Vermeidung. In Deutschland ist Whistleblowing häufig noch negativ besetzt. Das liegt vielleicht auch daran, dass es keine adäquate Übersetzung für das Wort gibt. Wörtlich übersetzt heißt Whistleblowing „die Pfeife blasen“. Deshalb wird die Bedeutung oft mit Verpfeifen und Denunziantentum missverstanden.5 Der Whistleblower-Netzwerk e. V. versteht unter Whistleblowern Menschen, die illegales Handeln, Missstände oder Gefahren für Mensch und Umwelt nicht länger schweigend hinnehmen, sondern aufdecken. Sie tun dies intern innerhalb ihres Betriebes, ihrer Dienststelle oder Organisation oder auch extern gegenüber den zuständigen Behörden, Dritten, oder auch der Presse.6 Im Ergebnis werden unter Whistleblowing kritische Äußerungen, Beschwerden oder Anzeigen von Mitarbeitern über ComplianceVerstöße in Unternehmen verstanden.7 Whistleblowing-Systeme ermöglichen es Mitarbeitern oder u. U. – je nach Ausgestaltung – auch Dritten, wie z. B. Kunden, über ein bestimmtes Verfahren, im besten Fall anonym, Informationen über Verhaltensweisen von Mitarbeitern des Unternehmens abzugeben, die nicht im Einklang mit dem Gesetz oder unternehmensinternen Verhaltensregeln stehen. Der Mitarbeiter erhält bei Verdacht eines Verstoßes im Unternehmen durch andere Mitarbeiter hierdurch die Gelegenheit, vertraulich oder gar anonym Hinweise zu übermitteln.8 Er soll durch ein WhistleblowingSystem gerade ermutigt werden, offen über Compliance-Vorfälle zu berichten.9 In der Praxis haben sich hierfür Telefonhotlines etabliert, die je nach Größe des Unternehmens durch einen externen Anbieter (z. B. einen Anwalt) oder eine unternehmenseigene Ombudsperson beantwortet werden. Dabei kann eine Hotline für das gesamte Unternehmen oder für eine Betriebseinheit an einem einzelnen Standort vorgesehen sein.

III. Gründe für ein Whistleblowing-System „Berkshire would be more valuable today if I had put in a whistleblower (hot) line decades ago.“ Warren E. Buffett

Die Aufdeckungsquote von Compliance-Verstößen ist dort höher, wo Whistleblowing-Systeme bestehen und somit keine Repressalien für Hinweise drohen. Laut Transparency International könnte Wirtschaftskriminalität besser vorgebeugt werden, wenn sich Mitarbeiter

Compliance-Berater | 1–2/2015 | 27.1.2015

Wirth/Krause, Whistleblowing – Universelles Instrument der Compliance?

von Unternehmen und Behörden mutiger gegen Betrug und Missstände einsetzen könnten, ohne um ihre Existenz fürchten zu müssen.10 Whistleblowing ist eines der, wenn nicht sogar das Instrument eines effektiven CMS zur Aufdeckung von Compliance-Verstößen. Durch ein Whistleblowing-System wird gewährleistet, dass Arbeitnehmer drohende oder begangene Verstöße und damit Non-Compliance im Unternehmen melden können. Daneben soll aber auch bereits dann eine Meldung erfolgen, wenn noch keine Verstöße drohen, aber Instrumente des CMS ungenutzt bleiben, umgangen oder missbraucht werden. Teilweise genügt bereits das Installieren solcher Whistleblowing-Systeme, um als mittelbaren Zweck die Abschreckung der Täter herbeizuführen.11 Es gibt zwei gute Gründe für Whistleblowing-Systeme im Unternehmen. Zum einen dienen sie der Haftungsvermeidung, zum anderen bringen sie einen Wettbewerbsvorteil. Ein unzureichendes oder gar völlig fehlendes CMS kann schwerwiegende Folgen für das Unternehmen und seine Geschäftsleiter (Vorstand, Geschäftsführer, Inhaber) haben. Es besteht das Risiko von Bußgeldern, von Schadensersatzforderungen und, v. a., von Reputationsschäden. Für die Geschäftsleiter besteht zudem noch das Risiko einer persönlichen Strafbarkeit und arbeitsrechtlicher Folgen. Diese Verantwortlichkeit ergibt sich nicht nur für Konzerne. Vor allem für mittelständische Unternehmen können die Folgen von Rechtsverstößen existenzbedrohend sein. Whistleblowing soll hierbei der Haftungsvermeidung dienen. Dies entweder dadurch, dass Verstöße durch frühzeitige Aufdeckung verhindert werden oder die Haftung für begangene Verstöße wegen des Bestehens eines Whistleblowing-Systems eingeschränkt wird. Die Bedeutung von Compliance für Unternehmen wird sich künftig aber verändern. Zurzeit wird Compliance verstärkt noch mit Staatsanwälten und „Denunzianten“ in Verbindung gebracht. In Zukunft wird im internationalen Wettbewerb neben Qualität und Preis auch die Compliance des jeweiligen Anbieters eine zunehmende Rolle spielen. Dies gilt nicht etwa nur für den US-amerikanischen Raum, sondern auch in der EU, was durch die Richtlinie 2014/95/EU über CSR-Berichtspflichten vom 22.10.2014 (ABl. L 330 vom 15.11.2014) umso deutlicher wird. Danach müssen zukünftig große Unternehmen von öffentlichem Interesse mit durchschnittlich mehr als 500 Mitarbeitern im Lagebericht u. a. auch zur Bekämpfung von Korruption und Bestechung sowie zur Beachtung der Menschenrechte berichten. Die Richtlinie ist innerhalb von zwei Jahren in nationales Recht umzusetzen.12 Hier gilt es vorausschauend zu handeln, um nicht eines Tages das Nachsehen zu haben. Multinationale Unternehmen werden

4 Die drei Säulen der Compliance sind Prevent = Vermeidung, Detect = Aufdeckung, Respond = Anpassung. 5 Eine ausführliche Auseinandersetzung mit dem Begriff erfolgt von Waldzus, in: Behringer, Compliance kompakt, 3. Aufl. 2012, S. 306. 6 www.whistleblower-net.de/whistleblowing/whistleblowing-im-detail/defini tionen/(Abruf: 19.12.2014). 7 Müller, NZA 2002, 424. 8 Moosmayer, Compliance, 2. Aufl. 2012, S. 56. 9 Inderest, in: Inderest/Bannenberg/Poppe, Compliance, 2. Aufl. 2013, S. 135. 10 Transparency International in: Scheinwerfer 59, 18.  Jahrgang, Mai 2013, S. 24. 11 Waldzus, in: Behringer, Compliance kompakt, 3. Aufl. 2012, S. 305. 12 S. hierzu PM des Bundesministeriums für Justiz und Verbraucherschutz vom 29.9.2014 unter www.bmjv.de/SharedDocs/Kurzmeldungen/DE/2014/ 20140929_Unternehmenstransparenz.html (Abruf: 19.12.2014).

BEITRÄGE COMPLIANCE MANAGEMENT

Wirth/Krause, Whistleblowing – Universelles Instrument der Compliance?

künftig vermehrt darauf achten, dass nicht nur sie selbst, sondern auch ihre Vertragspartner compliant agieren. Zur Vermeidung und Aufdeckung von Straftaten ist mit den beiden genannten Zielen ein Whistleblowing-System für ein sorgfältiges CMS unerlässlich.

IV. Rechtliche Zulässigkeit eines WhistleblowingSystems So erfolgsversprechend ein Whistleblowing-System im ersten Moment erscheint, nationale Gesetze müssen solche Systeme zulassen bzw. dürfen diese nicht verbieten. Es ist daher zu prüfen, inwiefern ein Whistleblowing-System nach dem jeweiligen Recht zulässig ist.13 Der Rechtsrahmen für die Ausgestaltung von Whistleblowing-Systemen ist allerdings sehr unterschiedlich: Teilweise ist es verboten, Daten zu speichern, Gespräche aufzunehmen oder v. a. auch anonyme Whistleblowing-Systeme zu etablieren.14 Auch und gerade innerhalb Europas gibt es derzeit noch keine einheitliche Regelung zu den Whistleblowing-Systemen. Tendenziell besteht in den meisten Ländern kein spezielles Schutzgesetz für Whistleblower (89 %) und die anonyme Berichterstattung ist erlaubt (72 %).

Anonyme Berichterstattung erlaubt

Nein Nein

Ja

Ja

von Whistleblowern. Dementsprechend wird u. a. darüber diskutiert, ob Whistleblowing ein Kündigungsgrund ist,18 wann Whistleblowing zulässig ist19 sowie über das „ob“ und „wie“ einer gesetzlichen Regelung zum Whistleblowing.20 Bisher scheiterten allerdings alle Gesetzesinitiativen. Die Entwicklung zeigt, das Whistleblowing-Systeme immer mehr, auch von der Gesetzgebung, als ein wichtiges Instrument der Compliance angesehen werden. Allerdings reichen die bisherigen gesetzlichen Regelungen nicht aus. Unbedingt notwendig wäre eine Regelung zur datenschutzrechtlichen Zulässigkeit von Whistleblowing-Systemen, die zumindest europaweit Anwendung findet. Insoweit ist bedauerlich, dass die Frage der Zulässigkeit anonymer WhistleblowingSysteme weitestgehend unberücksichtigt bleibt. Diesbezüglich herrscht in der Praxis große Unsicherheit bei der Ausgestaltung von Whistleblowing-Systemen. Zur weiteren Stärkung des Vertrauens in Whistleblowing-Systeme und damit zu deren Wirksamkeit sind auch Regelungen zur Zulässigkeit von Whistleblowing in Unternehmen und zur Behandlung von Whistleblowern erforderlich, um Whistleblower besser zu schützen.

V. Praktikabilität eines Whistleblowing-Systems Ist die Frage nach der rechtlichen Zulässigkeit eines WhistleblowingSystems beantwortet, stellt sich ferner noch die Frage der Praktikabilität. In manchen Fällen kann die Etablierung eines WhistleblowingSystems zwar rechtlich zulässig und grundsätzlich wünschenswert, aber nicht praktikabel sein.

Abbildung: Whistleblowing status quo in 18 Europäischen Ländern15 Spezielles Schutzgesetz für Whistleblower

29

Unklar

Vorherige Ankündigung/ Zustimmung notwendig

1. Anonymität als entscheidender Erfolgsindikator Ziel der Etablierung eines Whistleblowing-Systems ist das Erlangen von Hinweisen. Aus der Praxis ist insoweit aber bekannt, dass Hinweise von Mitarbeitern viel eher dann gegeben werden, wenn ihre Anonymität gewahrt ist. Diese Wahrung der Anonymität kann allerdings, z. B. wegen der Größe eines Unternehmens oder einer Betriebseinheit, nicht immer gewährleistet werden. Um Mitarbeitern einen Anreiz zum aktiven Handeln und zum Wählen der Whistleblowing-Hotline zu geben, ist sicherzustellen, dass ihre Anonymität gewahrt wird. Dabei muss sich die Anonymität auf die

Nein Ja keine Angaben

Gerade auch in Deutschland besteht keine klare Rechtslage zum Umgang mit Whistleblowern. Um den Schutz von Whistleblowern ist es daher bisher in Deutschland schlecht bestellt.16 Insbes. besteht ein fortwährender Konflikt mit dem Datenschutzrecht, der nicht einfach zu lösen ist. Ein erster Vorstoß ist nun mit der Einführung des bereits genannten § 25 a Abs. 1 S. 6 Nr. 3 KWG gemacht. Aber auch diese Regelung lässt die Frage offen, wie ein Whistleblowing-System im Hinblick auf den Datenschutz auszugestalten ist, da nur die Wahrung der Vertraulichkeit der Identität der Whistleblower gefordert wird. Unbeantwortet bleibt somit, ob ein anonymes Hinweisgebersystem eingeführt werden kann bzw. muss, oder ob die Identität anderweitig geschützt werden soll.17 Im Übrigen gibt es aber weder Regelungen zur Einführung von Whistleblower-Systemen noch zu deren Ausgestaltung und der Behandlung

13 Moosmayer, Compliance, 2. Aufl. 2012, S. 58. 14 Ob die EU-Länder, in denen anonyme Whistleblowing-Systeme verboten sind, vor dem Hintergrund der RL 2013/36/EU ihre gesetzlichen Regelungen ändern müssen, ist weitestgehend unklar. Diese Richtlinie ist Grundlage für die Einführung von § 25a KWG und in allen EU-Ländern umzusetzen. Allerdings werden weder durch die Richtlinie noch durch die daneben bestehenden EBA-Guidlines (Nr. 17) anonyme Whistleblowing-Systeme gefordert, sondern gemäß der Regelungen ist ausschließlich die Vertraulichkeit zu wahren. Die Wahrung der Vertraulichkeit ist aber wohl auch bei nicht anonymen Hinweisgebersystemen möglich, indem zwar derjenige, an den der nicht anonyme Hinweis erfolgt, die Identität des Hinweisgebers kennt, diese aber nicht oder nur eingeschränkt an Dritte weitergeben darf. 15 World Law Group – Global Guide to Whistleblowing Programs und eigene Recherchen. 16 Waldzus, in: Behringer, Compliance kompakt, 3. Aufl. 2012, S. 305. 17 Vgl. zu § 25 KWG Greve, ZD 2014, 336; Renz/Rohde-Liebenau, BB 2014, 692. 18 Hierzu insbes. Müller, NZA 2002, 424 m. w. N. und EGMR, 21.7.2011  – 28274/08 – (Heinisch). 19 So z. B. Rudkowski, CCZ 2013, 204. 20 U. a. Simonet, RdA 2013, 236; Mengel, CCZ 2012, 146.

Compliance-Berater | 1–2/2015 | 27.1.2015

30

BEITRÄGE COMPLIANCE MANAGEMENT

Person und den Inhalt beziehen. Dies bedeutet, dass zum einen keine Rückverfolgung zum Hinweisgeber möglich sein darf, zum anderen, dass alle Informationen, die der Hinweisgeber übermittelt, vertraulich behandelt werden müssen. Die Erfahrung zeigt, dass sich eine größere Anzahl von Mitarbeitern überwinden werden, einen ComplianceVerstoß im Unternehmen zu melden, wenn sie wissen, dass sie nicht erkannt und damit auch nicht dafür bestraft werden. Der Mitarbeiter möchte im Idealfall seine Identität nicht preisgeben.21 Je sicherer sich der Mitarbeiter fühlt, desto höher ist sein Interesse und seine Bereitschaft an der Meldung von Compliance-Verstößen im Unternehmen und desto wahrscheinlicher der Griff zum Hörer. Je kleiner also ein Unternehmen oder eine Betriebseinheit ist, desto schwieriger ist die Etablierung eines Whistleblower-Systems. Daher wird in Unternehmen oder Betriebseinheiten, in denen sich viele Mitarbeiter untereinander sehr gut kennen, wie z. B. in einer Betriebseinheit in einem Land mit sieben Mitarbeitern, ein Whistleblowing-System nicht den Erfolg haben, den es dort haben kann, wo auf Grund der Größe und Struktur des Unternehmens/der Betriebseinheit per se eine gewisse Anonymität herrscht. Kann Anonymität auf Grund der Größe des Unternehmens oder der Betriebseinheit nicht gewährleistet werden, wird man daher dort zu dem Ergebnis kommen dürfen, dass ausnahmsweise die Etablierung eines Whistleblowing-Systems nicht erforderlich, weil nicht geeignet ist. Gemäß der o. g. Studie wird demnach innerhalb der ersten Größenklasse bis zu 250 Mitarbeitern die Umsetzbarkeit von WhistleblowingSystemen regelmäßig schwieriger sein. In kleineren Einheiten besteht nämlich auch bei anonymer Meldung das erhebliche Risiko, dass die jeweils betroffenen Personenkreise so überschaubar sind, dass der Hinweisgeber schon aufgrund des gemeldeten Sachverhalts identifizierbar wird oder zumindest erscheint. Demgegenüber gilt, dass je mehr Mitarbeiter in einem Unternehmen beschäftigt sind, desto größer ist die Notwendigkeit eines Whistleblowing-Systems für ein sorgfältiges CMS. Daraus folgend wird auch in der genannten Studie festgestellt, dass für große Unternehmen „aufgrund ihrer Dezentralität und der hohen Mitarbeiterzahl die Einrichtung einer anonymen Hotline oder eines elektronischen Hinweisgebersystems unverzichtbar (ist), um die Erreichbarkeit für alle Mitarbeiter jederzeit sicherzustellen“.22 Dementsprechend sollte ein Whistleblowing-System grundsätzlich immer bei Unternehmen ab der zweiten Größenklasse (ab 250 Mitarbeitern) vorhanden sein. Hinsichtlich der konkreten Ausgestaltung eines solchen Whistleblowing-Systems bestehen jedoch Spielräume. Diese lassen je nach Umsetzung ein bestimmtes Maß an Anonymität zu, ohne dass hierfür größerer Aufwand entstehen würde. Ein Beispiel ist die Etablierung einer Kontaktperson als „Ombudsman“, an den die Mitarbeiter schriftliche Mitteilungen machen können, ohne dass ihre Identität offenbart wird.23 Da das Aufdecken von Compliance-Verstößen eine der drei Kernsäulen eines effektiven CMS ist, sind Whistleblowing-Systeme mangels großer Erfolgschancen nur in Ausnahmefällen nicht erforderlich. Grundsätzlich kann auch ein Whistleblowing-System notwendig sein, wenn keine Anonymität gewährleistet wird. So bleibt zumindest die Möglichkeit gewahrt, sich bei Missständen an eine Stelle im Unternehmen zu wenden, auch wenn der Nutzen und die Wahrscheinlichkeit des Erfolges eines solchen Systems natürlich nicht der Gleiche ist wie wenn Anonymität gewährleistet wird. Kann allerdings ein Whistleblowing-System tatsächlich einmal nicht erfolgsversprechend umgesetzt werden, sollten alternative Maßnahmen in den Unternehmen implementiert werden, die zur Aufdeckung beitragen.

Compliance-Berater | 1–2/2015 | 27.1.2015

Wirth/Krause, Whistleblowing – Universelles Instrument der Compliance?

2. Erforderlichkeit vs. Organisation Neben der Anonymität kann die Etablierung von Whistleblowing-Systemen aber auch aus organisatorischen Gründen Schwierigkeiten bereiten. Dies insbes. dann, wenn ein Unternehmen an vielen verschiedenen Standorten in zahlreichen Ländern tätig ist. Eine derartige Internationalität eines Unternehmens bedeutet, dass verschiedene Sprachen und Zeitzonen, unterschiedliches Problembewusstsein und unterschiedliche Mentalitäten von Personen aus verschiedenen Ländern sowie verschiedene rechtliche Rahmenbedingungen koordiniert und miteinander in Einklang gebracht werden müssen. Hieraus ergeben sich steigende Anforderungen an ein Whistleblowing-System. Insbes. hinsichtlich der Sprache ist eine einheitliche Ausgestaltung oft schwierig. So ist in einem Unternehmen mit vielen unterschiedlichen Standorten in verschiedenen Ländern fraglich, ob für jeden Standort eine Hotline in der jeweiligen Landessprache zu Verfügung zu stellen oder ob eine Hotline für alle Standorte ausreichend ist. Auch hier kann nach der Größe, aber auch nach der täglichen Arbeitssprache differenziert werden. Grundsätzlich sollte für den internationalen Bereich ein englischsprachiges System genügen.24 Hierbei darf aber nicht verkannt werden, dass insbes. in ausländischen Produktionsstätten nicht unterstellt werden darf, jeder Mitarbeiter habe ausreichende Fremdsprachenkenntnisse, um einen für ihn heiklen und unangenehmen Sachverhalt richtig und umfassend in einer fremden Sprache zu schildern. Unter Bezugnahme auf die Größenklassen in der genannten Studie25 kann es für Unternehmen ab der dritten Größenklasse (3 000 Mitarbeiter) mit größeren einzelnen Standorten zweckmäßig sein, mehrere Hotlines für die jeweiligen Standorte anzubieten. Für Unternehmen der ersten und zweiten Größenklasse mit kleineren Standorten kommt es demnach aus Praktikabilitätsgründen eher in Betracht, für das gesamte Unternehmen und nicht für die jeweiligen Standorte eine Hotline mit einer einheitlichen Sprache, z. B. auf Englisch, anzubieten. Dies ist zumindest in den Unternehmen möglich, in denen die tägliche Arbeitssprache im gesamten Unternehmen Englisch ist. In Unternehmen der ersten und zweiten Größenklasse hingegen mit vielen kleineren Standorten, in denen die Arbeitssprache unterschiedlich ist, ist eine einheitliche Lösung nur schwer umsetzbar. Dies kann dazu führen, dass in diesen Fällen ein Whistleblowing-System nicht als gebotener Bestandteil eines CMS angesehen werden kann. 3. Erforderlichkeit nach risikobasierter Betrachtung Unabhängig von der Organisation (Größe und Internationalität) eines Unternehmens kann die Etablierung eines Whistleblowing-Systems in einem Unternehmen oder für eine Betriebseinheit an einem Standort nach risikobasierter Betrachtung dann nicht erforderlich sein, wenn das Unternehmen oder die Betriebseinheit in einem Bereich und/oder in einem Land tätig ist, in dem das Risiko von ComplianceVerstößen gering ist. So ist ein Unternehmen bzw. eine Betriebseinheit im Bereich Forschung und Entwicklung von einem Unternehmen

21 Waldzus, in: Behringer, Compliance kompakt, 3. Aufl. 2012, S. 323. 22 www.htwg-konstanz.de/ Compliance-Pflichten.6958.0.html (Abruf: 19.12.2014), KICG, CMS-GUIDANCE 2014, S. 98. 23 Weitere Beispiele s. Moosmayer, Compliance, 2. Aufl. 2012, S. 57. 24 Vgl. hierzu allerdings für den Anwendungsbereich des FCPA: SEC, File No. 3-16314, i. S. Bruker Corporation, No. 8; abrufbar unter: www.sec.gov/ litigation/admin/2014/34-73835.pdf (Abruf: 19.12.2014). 25 www.htwg-konstanz.de/ Compliance-Pflichten.6958.0.html (Abruf: 19.12.2014).

Wirth/Krause, Whistleblowing – Universelles Instrument der Compliance?

bzw. einer Betriebseinheit im Bereich Vertrieb und Auftragsvergabe zu unterscheiden. Insoweit spielt auch eine Rolle, in welchem Land das Unternehmen oder die Betriebseinheit den Standort hat, da es Länder gibt, die anfälliger für Wirtschaftsstraftaten, wie z. B. Korruption, sind als andere. Eine Betriebseinheit z. B. in Island im Bereich Forschung und Entwicklung für Geothermie hat erkennbar ein anderes Risikoprofil als die Vertriebseinheit eines Anlagenbauers für die GUS-Staaten in Moskau. Im Rahmen einer solchen Risikobetrachtung kann daher mangels Erforderlichkeit in diesen Fällen ausnahmsweise von der Etablierung eines Whistleblowing-Systems abgesehen werden. Dies bedeutet aber nicht, dass auf ein CMS insgesamt verzichtet werden kann, da es auch in solchen Unternehmen und Betriebseinheiten zu Compliance-Verstößen kommen kann. 4. Whistleblowing-Systeme in der Praxis Damit ein Whistleblowing-System zum Erfolg und damit zur Aufdeckung und Vermeidung von Compliance-Verstößen führt, muss es genutzt werden. Unabdingbare Voraussetzung hierfür ist, dass eine vertrauensvolle Sphäre für die Mitarbeiter geschaffen wird. Eine bloße Veröffentlichung einer Telefon-Hotline ist häufig ungenügend, um einen vertrauensvollen Eindruck bei den Mitarbeitern zu wecken. Entscheidend ist, dass die Mitarbeiter darüber informiert sind, wie mit den gemeldeten Vorfällen verfahren wird, dass keine Konsequenzen drohen und dass die Anonymität oder zumindest die Geheimhaltung gewahrt bleiben. Je mehr Zweifel bei den Mitarbeitern bestehen, desto geringer wird die Akzeptanz des Whistleblowing-Systems sein. In der Praxis wird diese Vermittlung von Informationen häufig über die Zurverfügungstellung auf der unternehmensinternen Intranetseite gelöst. Ferner muss den Arbeitnehmern auch bekannt sein, welche Missstände von Relevanz sind und welche Compliance-Verstöße zu melden sind. In der Praxis kommt es regelmäßig vor, dass irrelevante und Compliance-fremde Themen gemeldet werden. Dementsprechend sollten die Arbeitnehmer zuvor über Compliance-relevante Themen informiert und sensibilisiert werden. Dies kann insbes. durch Schulungen erfolgen. Hierbei muss den Mitarbeitern aber auch verdeutlicht werden, dass bewusst falsche und böswillige Hinweise, die jeglicher Grundlage entbehren, nicht hingenommen werden können.26 Bei großen Unternehmen sollte zudem ein effektives Erfassungs- und Klassifizierungssystem implementiert werden. Dies dient sowohl zur Aussortierung irrelevanter Meldungen, als auch der Übersichtlichkeit und dadurch der Möglichkeit einer risikobasierten Abarbeitung der gemeldeten Vorfälle. Wie so oft kommt es also auch hier auf eine ausgewogene Kommunikation des Systems an.

VI. Nutzung bestehender Strukturen Eine grundsätzliche Überlegung sollte, insbes. auch für kleinere Unternehmen, sein, ob nicht bestehende Strukturen im Unternehmen genutzt werden können. Entscheidend ist dabei, ob ein Gremium vorhanden ist, welches geeignet erscheint, Hinweise der Arbeitnehmer auf Compliance-Verstöße im Unternehmen entgegenzunehmen. In

BEITRÄGE COMPLIANCE MANAGEMENT

31

diesem Fall kann es ausnahmsweise sinnvoll sein, dieses Gremium einem Whistleblowing-System vorzuziehen. Ein solches Gremium kann z. B. der Betriebsrat sein. Der Betriebsrat genießt bei den Arbeitnehmern ein hohes Maß an Vertrauen und gilt als unabhängig gegenüber der Unternehmensleitung. Er war und ist daher schon bisher Anlaufstelle für die Mitarbeiter und ist dementsprechend grundsätzlich geeignet, die Funktionen einer derartigen Hinweisgeberstelle zu übernehmen. Jedenfalls in kleineren Unternehmen kann dies eine zumindest vorübergehende Alternative zu externen Systemen sein.

VII. Zusammenfassung Whistleblowing ist im Kontext eines Compliance-Management-Systems ebenso selbstverständlich wie differenziert. Ansätze für eine differenzierte Betrachtung liefert zunächst das jeweilige nationale Recht, insbes. in den Bereichen Datenschutz und Arbeitnehmerschutz. Selbstverständlich ist ein Hinweisgebersystem elementarer Bestandteil eines CMS, dennoch sind auch hier Abstufung nach Risikolage und Telos möglich, sinnvoll, ja sogar geboten. Die Diskussion darüber hat gerade erst begonnen. Festzustehen scheint nur eines, „one size fits all“ gilt weder beim Whistleblowing noch sonst im Bereich Compliance. Jedes Unternehmen, insbes. im mittelständischen Bereich kann und muss sich der Aufgabe stellen, die Elemente seines CMS individuell zu bestimmen. Die Wissenschaft bleibt aufgerufen hierfür Grundlagen zu schaffen und „Leitlinien“ vorzugeben.

AUTOREN Dr. Andreas Wirth, RA, ist Partner bei der Taylor Wessing Partnerschaftsgesellschaft mbB am Standort München im Bereich Litigation & Dispute Resolution. Er berät vorwiegend im Bereich Corporate Compliance und Corporate Governance.

Dr. Rebekka Krause ist Rechtsanwältin bei der Taylor Wessing Partnerschaftsgesellschaft mbB am Standort München im Bereich Corporate. Einer ihrer Schwerpunkte ist die Beratung auf dem Gebiet der Corporate Compliance. Ihre Promotion hat sie zu Fragen der Criminal Compliance verfasst.

26 Inderest, in: Inderest/Bannenberg/Poppe, Compliance, 2. Aufl. 2013, S. 136.

Compliance-Berater | 1–2/2015 | 27.1.2015