EU-Whistleblower-Richtlinie: Praxistipps für Unternehmens-Entscheider
Zur EU-Richtlinie Hinweisgeberschutz gibt es viele juristische Fachartikel. Gemeinsam mit der langjährigen Chief Compliance Officerin und Compliance-Beraterin Nadine Jacobi habe ich als Rechtsanwalt und Ombudsmann in den vergangenen zehn Beiträgen das Thema Hinweisgeberschutz aus der Praxis beleuchtet. Im letzten Teil unserer gemeinsamen Blog-Serie fassen wir wichtige Aspekte noch einmal zusammen – in unserer ganz persönlichen Top-10-Liste der Dos und Don’ts zum Thema Hinweisgeberschutz.
(Zur besseren Lesbarkeit verwenden wir im Text auch das generische Maskulinum. Gemeint sind immer alle Geschlechter)
1. „Hinweisgeberschutz? Ohne Gesetz unternehmen wir hier gar nichts.“
DON‘T
Sie ignorieren das Thema „Hinweisgeberschutz“ komplett, selbst wenn die EU-Richtlinie irgendwann in ein deutsches Gesetz umgewandelt wird.-Denn die EU-Whistleblower-Richtlinie knüpft keine unmittelbaren Strafen an die fehlende Einrichtung eines Hinweisgebersystems im Unternehmen.
DO
Falls noch nicht erfolgt: Setzen Sie sich JETZT mit dem Thema Hinweisgebersystem auseinander und richten Sie einen auf Ihren Bedarf ausgerichteten Meldekanal ein, z.B. indem Sie ein elektronisches System implementieren oder eine Ombudsperson zur Entgegennahme von Hinweisen beauftragen.
Die Einrichtung eines Hinweisgeber-Meldekanals ist inzwischen „state of the art“. Es handelt sich um einen klassischen Bestandteil eines effektiven Compliance Management Systems, um potenzielle Compliance-Verstöße aufzudecken. Sollte die Staatsanwaltschaft eines Tages ein Ermittlungsverfahren gegen Vertreter Ihres Unternehmens einleiten, etwa wegen Bestechung, kann ein fehlendes oder unvollständiges Compliance-Management-System als Organisationsverschulden gewertet werden und in der Folge beispielsweise zu Geldbußen führen. So hat der BGH bereits im Jahr 2013 entschieden, dass der Vorstand dafür Sorge zu tragen hat, eine auf Schadensprävention ausgerichtete Compliance-Organisation einzurichten. Umfang und Ausgestaltung des Systems sind dabei von der Unternehmensgröße, der Branche, der Internationalität und von weiteren Faktoren abhängig.
Und letztlich nicht zu vergessen: Auch das Lieferkettengesetz verlangt die Einrichtung eines Meldekanals und knüpft an die fehlende Umsetzung nicht unerhebliche Geldstrafen.
2. „Hinweisgeber sollen sich einfach an ihre direkten Führungskräfte wenden.“
DON‘T
Sie verschwenden keine Gedanken an ein Hinweisgeber-Meldesystem. Schließlich beschäftigen Sie Führungskräfte, die Ihre Mitarbeiter direkt ansprechen können. Die Vorgesetzten können schließlich am besten einschätzen, ob der Hinweisgeber ehrlich ist und dann selbst entscheiden, wie mit der Information umzugehen ist.
DO
Achten Sie bei der Auswahl Ihres Hinweisgeberkanals insbesondere darauf, dass dieses die Identität des Hinweisgebers schützt. Zum einen, da dies durch die EU-Whistleblower Richtlinie vorgegeben wird und mit an Sicherheit grenzender Wahrscheinlichkeit auch durch das anstehende deutsche Hinweisgeberschutzgesetz gefordert werden wird. Zum anderen ist das eine der wichtigsten Voraussetzungen, damit potenzielle Hinweisgeber das bereitgestellte System nutzen werden. Wird der Identitätsschutz nicht sichergestellt und unternehmensintern kommuniziert, wenden sich Hinweisgeber unter Umständen direkt an die Behörden oder Presse. Dann haben Sie Ihre Chance vertan, den Hinweis selbstbestimmt intern aufzuklären und Kenntnis von einem möglichen Compliance-Verstoß zu erhalten.
3. „Wir haben doch so ein Meldesystem – irgendwo im Intranet.“
DON‘T
Sie wenden sich als Geschäftsführer mit folgender Ansprache an Ihre Mitarbeiter: „Wir haben jetzt auch ein Hinweisgebersystem. Wenn Sie glauben, etwas melden zu müssen, finden Sie das in unserem Intranet, irgendwo bei den Formularen.“
Dieser „Tone from the top“ verdeutlicht, was die Geschäftsleitung von Hinweisgebern und einem Meldekanal in Wirklichkeit denkt: „Bei uns gibt es ohnehin keine Verstöße. Mitarbeiter sollten sich bitte nicht mit so etwas beschäftigen und wenn sie sich denn nicht davon abbringen lassen – viel Spaß bei der Suche.“
DO
Unternehmens-Entscheidern empfehlen wir folgendes Vorgehen:
Geben Sie ein persönliches Statement ab, indem Sie deutlich machen, dass Sie jeden Hinweis wertschätzen und intern nachgehen. Bitten Sie Ihre Mitarbeiter um aktive Unterstützung. Benennen Sie die Vorteile, die Ihr Unternehmen davon hat, Hinweisen intern nachzugehen und Maßnahmen zu ergreifen. Es geht darum Schaden vom Unternehmen und seinen Mitarbeitern abzuwenden.
Und das Meldesystem wird im Intranet so aufgehängt, dass es leicht von den Mitarbeitern gefunden wird. Gleiches gilt für einen Hinweis auf der Internetseite, damit auch Externe die Möglichkeit haben, den Link zum System zu finden und ihren Hinweis abzugeben.
4. „Mit einer Ombudsperson sind wir alle Sorgen los.“
DON‘T
Ihnen sind die Argumente gegen die Einführung eines Hinweisgeber-Meldesystems ausgegangen. Sie engagieren daher eine Ombudsperson, die sich um alles kümmern soll und Sie können sich dann wieder den wichtigen Dingen – wie den Geschäften – zuwenden. Damit sind Sie ja alle Sorgen los, müssen sich um nichts mehr kümmern und erfahren außerdem jedes Mal, welcher Ihrer Mitarbeiter „gepetzt“ hat.
DO
Die Beauftragung einer Ombudsperson ist für viele Unternehmen mit zahlreichen Vorteilen verbunden. Allerdings befreit sie ein Unternehmen nicht von der Implementierung wichtiger Schaltstellen, Prozesse und Entscheidungsmechanismen. Die Ombudsperson nimmt Hinweise entgegen, stellt im Zweifel Nachfragen, schützt auf Wunsch des Hinweisgebers seine Identität und bewertet im Optimalfall in einem ersten Schritt die Glaubwürdigkeit des Hinweises. Diese Einschätzung erhält dann das Unternehmen, wo nun wichtige Arbeitsschritte vollzogen werden müssen. Dafür ist eine – je nach Unternehmensgröße – kleinere oder größere Compliance-Infrastruktur vonnöten, ohne die kein Hinweisgebersystem funktionieren kann. Erweist sich der Hinweis als substanziell, folgen eine Interne Untersuchung und schließlich, wenn ein Verstoß festgestellt wird, die Sanktionierung.
5. „In unserem Unternehmen gibt es keine Compliance-Probleme.“
DON‘T
Trotz Einführung eines Meldekanals sind über das Jahr keine oder nur ein oder zwei Hinweise eingegangen und die führten dann auch zu keinen wesentlichen Erkenntnissen. Sie interpretieren diese als sicheres Zeichen dafür, dass sich alle Mitarbeiter Ihres Unternehmens stets an die Regeln halten und es daher keine berichtenswerten Compliance-Verstöße gibt. Stolz stellen Sie sich vor Ihre Mannschaft, verkünden die frohe Botschaft, „keine Meldung = keine Verstöße“ und reduzieren den Vertrag mit der beauftragten Ombudsperson auf ein Minimum: Ein, zwei Tage Verfügbarkeit pro Woche zur Entgegennahme von Hinweisen werden dann ja wohl ausreichen, wenn sowieso kein oder kaum ein Hinweis eingeht.
Die Schlussfolgerung „keine Meldung = keine Vorfälle“ ist zu 99% falsch. Die Gründe können vielfältig sein: Im Durchschnitt werden pro Jahr von 1.000 Mitarbeitern null bis vier Hinweise an Ombudspersonen weitergeleitet. Fehlendes Vertrauen in den Schutz des Hinweisgebers, eine Kultur von Befehl & Gehorsam und keine großen Fragen stellen, Sanktionen nach Gutsherrenart und viele andere Faktoren können dazu führen, das internes Fehlverhalten in Unternehmen nicht gemeldet wird.
DO
Machen Sie sich die Mühe und analysieren Sie die Situation, was die wirklichen Gründe dafür sein können, dass Sie über das Jahr keine Hinweise über das elektronische Hinweisgebersystem oder die Ombudsperson erhalten haben: Denn oft liegt dies daran, dass weder die Einführung des Meldekanals noch Ihre Wertschätzung des Erhalts von relevanten Hinweisen (richtig) kommuniziert wurden. Erhöhen Sie also Ihre diesbezüglichen Bemühungen und optimieren oder holen das nach, was bei der Einführung an Kommunikationsbemühungen versäumt worden ist. Wurde der Meldekanal beispielsweise nur einmal angesprochen, z. B. lediglich auf dem Führungskräftemeeting der Top 20 Mitarbeiter? Was gilt es also zu tun:
- Setzen Sie das Thema auf die Agenda der nächsten Betriebsversammlung.
- Diskutieren Sie mit der Belegschaft über die Gründe der Einführung und warum der Erhalt solcher Hinweise für das Unternehmen und seine Mitarbeiter so wichtig ist.
- Sprechen Sie als Unternehmenslenker am besten selber und leben Sie damit Ihren Mitarbeitern den „Tone from the top“ vor.
- Laden Sie die beauftragte Ombudsperson ein, sich und ihre Arbeit vorzustellen.
- Setzen Sie das Thema auf die monatlichen Vertriebsmeetings und laden Mitarbeiter dazu ein, ihre Gedanken und Sorgen dazu zu äußern.
- Berichten Sie in Form von beispielsweise jährlichen Statistiken über die Anzahl der erhaltenen Hinweise.
- Ordnen Sie die eingegangenen Hinweise bestimmten Themengebieten zu und berichten Sie, ob sich diese bei der durchgeführten Sachverhaltsaufklärung als relevant herausgestellt haben und ob es Sanktionen gab.
Kommunizieren Sie als Unternehmensentscheider zudem regelmäßig und klar, dass Regelverstöße nicht toleriert werden. Betreiben Sie professionelle Sachaufklärung zu eingegangenen relevanten Hinweisen unter Einhaltung datenschutzrechtlicher und arbeitsrechtlicher Vorgaben und verhängen Sie angemessene Sanktionen – unabhängig von der Bedeutung des Mitarbeiters oder der Führungskraft für Ihr Unternehmen. Dann handeln Sie verantwortungsvoll und müssen bei schwerwiegenderen Fällen keine zusätzlichen Sanktionen der Behörden befürchten.
6. „Hinweisgeber sind Nestbeschmutzer, die wir hier nicht brauchen.“
DON‘T
Sprechen Sie in vier-Augen Gesprächen regelmäßig davon, dass Hinweisgeber nichts anderes sind als unkollegiale Nestbeschmutzer, denen es eh nur darum geht, Kollegen und Vorgesetzten zu denunzieren und sich daraus einen Vorteil zu sichern. Und warum müssen Hinweisgeber überhaupt unter besonderen Schutz gestellt werden, solche Quertreiber kann keiner gebrauchen. Im Unternehmen müssen doch alle zusammenhalten und wenn man gewisse Dinge seit 20 Jahren erfolgreich so gemacht hat, kann man sie ja schließlich auch nicht von heute auf morgen abstellen.
DO
Betrachten Sie Hinweisgeber als das, was sie sind: Engagierte Mitarbeiter, die Schaden vom Unternehmen abwenden wollen. Unternehmen erhalten von Hinweisgebern oftmals wichtige Informationen über Unregelmäßigkeiten oder sogar Straftaten, die Sie sonst nicht bekommen hätten. Dies gelingt allerdings nur, wenn das Management sich klar zu Compliance-Standards bekennt und dies auch intern kommuniziert. Damit verbunden ist die Wertschätzung gegenüber denjenigen, die Hinweise auf Fehlverhalten melden wollen. Dazu gehört unter anderem der Schutz der Identität.
7. „Es wäre ungerecht, ausgerechnet diese erfolgreiche Führungskraft zu bestrafen.“
DON‘T
Sanktionieren Sie nach „Gutsherrenart“: Orientieren Sie sich bei der Wahl der jeweiligen Sanktion nicht nur daran an, wie schwerwiegend der Verstoß war, sondern insbesondere, wer gegen die Regeln verstoßen hat. Folgen Sie dem Grundsatz: „Je wichtiger die Person für das Unternehmen und sein Umsatz ist, desto geringer fällt die Sanktion aus“. Ein ermahnendes Gespräch muss dann einfach reichen. Hat den Verstoß jedoch nur ein Sachbearbeiter begangen, den Sie schnell ersetzen können, sanktionieren Sie unnachgiebig und mit voller Härte: Der Mitarbeiter muss gehen, auch wenn es der erste Verstoß gegen die Compliance Richtlinie war und man vorher keine Zeit gehabt hatte, ihren Inhalt zu schulen. So etwas spricht sich im Unternehmen schnell herum und Sie stellen sicher, dass Sie damit auch das beste Hinweisgebersystem zum Scheitern bringen.
DO
Eine konsequente und angemessene Sanktionierung, unabhängig von der Bedeutung des Mitarbeiters für das Unternehmen, wird übrigens auch auf den Prüfstand gestellt, wenn wegen eines festgestellten Compliance-Verstoßes seitens der Staatsanwaltschaft ermittelt und der Fall vor Gericht gebracht wird. Die Behörden überprüfen bei der Frage des Organisationsverschuldens und der Festlegung eines Bußgeldes nicht nur, ob ein wirksames Compliance-Management-System vorhanden ist, sondern auch, ob in dem Unternehmen festgestelltes Fehlverhalten angemessen sanktioniert wurde.
8. „Wir melden grundsätzlich jeden festgestellten Compliance-Verstoß der Behörde.“
DON‘T
Als tugend- und ehrenhaftes Unternehmen melden Sie grundsätzlich jedes nachgewiesene Fehlverhalten der Behörde. Diese selbstauferlegte Verpflichtung zur Meldung bei den Behörden im Falle eines entdeckten, schwerwiegenden Verstoßes nehmen Sie auch gleich in Ihre Richtlinie „Interne Untersuchungen“ mit auf. Schließlich gibt es nichts zu verbergen und Sie wollen zeigen, dass Sie den „zero tolerance“ Gedanken wirklich leben. Ihnen soll am Ende ja nicht vorgeworfen werden können, dass Sie Vorgänge vertuscht hätten.
DO
Legen Sie sich hinsichtlich der Entscheidung, ob Sie einen Compliance-Vorfall bei den Behörden melden wollen, nicht schon im Vorfeld fest, z. B. durch Aufnahme einer solchen grundsätzlichen Verpflichtung in der Richtlinie. Denn damit verpflichtet sich das Unternehmen unabhängig von den konkreten Umständen des Einzelfalls zu einem Automatismus, der zum Bumerang werden kann. Grundsätzlich sind Unternehmen nicht gesetzlich dazu verpflichtet, nach der internen Aufklärung einer Straftat den Vorgang den Behörden anzuzeigen. Das Gesetz sieht hier nur wenige Ausnahmefälle vor. Vor Erstattung einer Strafanzeige sollte das Unternehmen daher immer prüfen, ob die damit erhofften Vorteile die möglichen Nachteile überwiegen. Handelt es sich um den Fall eines Einzeltäters oder eher um ein systemisches Problem? Hat das Unternehmen alles getan, damit es nicht zu einem solchen Vorfall kommt? Und gibt es möglicherweise weitere Fälle von Fehlverhalten? Diese Fragen sind von entscheidender Bedeutung, bevor eine Meldung bei den Behörden in Betrachtung gezogen werden sollte. Im konkreten Einzelfall kann die Analyse der Situation natürlich auch ergeben, dass ein Herantreten an die Behörden explizit sinnvoll ist: So z. B., wenn zu erwarten ist, dass in jedem Fall eine staatsanwaltliche Ermittlung erfolgen wird.
Für und Wider sind im jeweiligen Einzelfall abzuwägen. Erst nach dieser ausführlichen Betrachtung sollte das Unternehmen die Entscheidung treffen, ob eine zusätzliche Strafanzeige die bestmögliche Entscheidung darstellt. Wir empfehlen daher Unternehmen, sich die Entscheidung für einen Gang zur Staatsanwaltschaft grundsätzlich offen zu halten.
9. „Der Betriebsrat hat bei diesem Thema kein Recht auf Mitbestimmung.“
DON‘T
Sie binden den Betriebsrat bei der Auswahl und Einrichtung eines zusätzlichen Meldekanals grundsätzlich nicht mit ein. Schließlich besteht in diesem Fall kein Mitbestimmungsrecht und Sie haben ja schon genug Diskussionen mit dem Betriebsrat. Das Thema ist und bleibt Sache der Geschäftsleitung und des Compliance-Verantwortlichen.
DO
Richtig ist wohl, wenn auch nicht ganz unumstritten, dass der Betriebsrat nicht zustimmen muss, wenn zum Beispiel eine Ombudsperson als zusätzlicher Meldekanal beauftragt werden soll. Anders liegen die Dinge bereits bei einem elektronischen Meldesystem. Ungeachtet dessen empfehlen wir:
Holen Sie den Betriebsrat mit ins Boot! Stimmen Sie die Voraussetzungen für die Einleitung einer Internen Untersuchung, den grundsätzlichen Ablauf und die Vorgehensweise für die Durchführung mit dem Betriebsrat ab und regeln diese anschließend in einer Betriebsvereinbarung.
Mit Hilfe dieser Einbindung erzielen Sie bei den Belegschaftsvertretern Akzeptanz für das Thema und sie werden zu einflussreichen Fürsprechern. Diese Unterstützung kann auch dann hilfreich sein, wenn es um die Sanktionierung einzelner „schwarzer Schafe“ geht.
10. „Diese ganzen Compliance-Themen kosten nur unnötig viel Geld und behindern unseren Vertrieb.“
DON‘T
Sie verwenden keine finanziellen und personellen Ressourcen für Maßnahmen zur Umsetzung der neuen Auflagen, Richtlinien und Gesetze. Als Unternehmer haben Sie besseres zu tun und solche Maßnahmen mindern am Ende nur den Erfolg Ihres Unternehmens. Sie lassen es also einfach drauf ankommen, wird schon gutgehen …
DO
Verwenden Sie finanzielle und personelle Ressourcen für Maßnahmen zur Umsetzung der neuen Auflagen, Richtlinien und Gesetze! Denn kennen Sie schon das geflügelte Wort „Sie glauben, Compliance sei teuer? Dann versuchen Sie’s mal ohne.“
Schwere mediale Kritik und Gerichtsurteile mit empfindlichen Strafen haben bereits zahlreiche Unternehmen bis ins Mark erschüttert. Unser aktuelles Thema, der Schutz von Hinweisgebern und die Einrichtung eines Meldesystems, sind dabei nur zwei Teile eines ganzen Maßnahmenpakets, die Unternehmensentscheider im Compliance-Bereich veranlassen sollten – und müssen, wenn sie juristische Konsequenzen in Form von persönlicher Haftung oder hohen Geldbußen vermeiden wollen.
Liebe Leser, das war der letzte Teil unserer 11-teiligen Blogserie zum Thema EU-Whistleblower Richtlinie. Frau Nadine Jacobi und ich haben uns viele Stunden ausgetauscht und aus unserer langjährigen Erfahrung einen bunten Strauß an Praxistipps für Sie zusammengestellt. Viele Tipps sind noch unerwähnt, ein paar Anekdoten haben wir uns verkniffen und einige Pointen würden wir Ihnen lieber im persönlichen Gespräch mitgeben. Wir freuen uns, von Ihnen zu hören!
Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.