Thomas Malik, LL.M. (University of Westminster, London), Compliance Officer (Univ.), Senior Legal Counsel, Legal & Corporate Compliance, Vetter Pharma-Fertigung GmbH & Co. KG

Gerade zu Beginn der Implementierung eines Compliance Management Systems stellt sich Compliance-Verantwortlichen angesichts der Vielzahl an Möglichkeiten und Anbietern die Frage, welches die für das eigene Unternehmen passende Lösung zur Einrichtung eines Hinweisgebersystems ist.

 

Gesetzliche Anforderungen

Nach deutschem Recht gab es lange Zeit keine ausdrückliche Verpflichtung für Unternehmen ein Hinweisgebersystem einzurichten. Mittlerweile schreibt der deutsche Gesetzgeber jedoch unter anderem für Finanz- und Kreditinstitute, Wertpapierdienstleistungs- und Versicherungsunternehmen sowie Verpflichtete nach dem Geldwäschegesetz ausdrücklich die Einrichtung von Prozessen vor, die es Mitarbeitern und/oder Dritten unter Wahrung der Vertraulichkeit ihrer Identität ermöglichen, potenzielle oder tatsächliche Verstöße gegen bestimmte Rechtsvorschriften sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten. Für börsennotierte Unternehmen bzw. deren Vorstände sieht Ziffer 4.1.3 des Deutschen Corporate Governance Kodex eine rechtlich nur unverbindliche Empfehlung vor (welche jedoch wegen des „Comply-or-Explain“-Prinzips zur De-Facto-Pflicht geworden sein dürfte) Beschäftigten auf geeignete Weise die Möglichkeit einzuräumen, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben. Für deutsche Tochtergesellschaften amerikanischer Unternehmen sowie für deutsche Unternehmen, die an US-Börsen notiert sind, besteht zudem nach dem US-Sarbanes-Oxley (SOX) Act die Verpflichtung anonyme Meldesysteme für Hinweise zu fragwürdigen Bilanzierungsmethoden einzurichten. Für deutsche Unternehmen, die aufgrund ihrer internationalen Geschäftstätigkeit unter den Anwendungsbereich des US Foreign Corrupt Practices Act und den UK Bribery Act fallen, kann die Einrichtung eines Hinweisgebersystems zudem zu Strafmilderungs- bzw. Enthaftungszwecken geboten sein.

 

Möglichkeiten zur Ausgestaltung eines Hinweisgebersystems

Bei den Ausgestaltungsmöglichkeiten unterscheidet man zwischen internen und externen Hinweisgebersystemen.

 

Interne Hinweisgebersysteme

Bei der internen Umsetzung ist das Hinweisgebersystem bei einer internen Stelle des Unternehmens, z.B. bei der Compliance- oder Rechtsabteilung, aufgehängt und verfügt in der Regel über eigens zur Abgabe von Meldungen eingerichtete Telefonnummern und E-Mail-Adressen. Anonymität im technischen Sinne über diese internen Kanäle zu ermöglichen ist jedoch nur mit verhältnismäßig hohem technischen und finanziellen Aufwand möglich. Daher sind bei internen Hinweisgebersystemen Meldungen in der Regel nur unter Preisgabe der Identität möglich. Gleichwohl wird meldenden Personen in der Regel hierüber Vertraulichkeit zugesichert. Interne Meldesysteme haben für das Unternehmen u.a. den Vorteil, dass sich Meldungen effizienter aufklären lassen, da es bei Kenntnis der Identität der meldenden Person einfacher möglich ist Nachfragen zur Aufklärung der Meldung zu stellen. Allerdings haben interne Hinweisgebersysteme mangels anonymer Meldemöglichkeit den Nachteil, dass Mitarbeiter unter Umständen aus Angst vor befürchteten negativen Konsequenzen (von Mobbing bis hin zur Kündigung) von der Abgabe einer Meldung abgeschreckt sein könnten. Umso wichtiger ist es bei internen Meldesystemen Mitarbeitern für Hinweise, die in gutem Glauben übermittelt werden, Schutz vor negativen Konsequenzen zuzusichern.

 

Externe Hinweisgebersysteme

Zu den bedeutsamsten externen Hinweisgebersystemen zählen webbasierte Hinweisgebersysteme und Ombudsmann-Modelle.

Bei den webbasierten Hinweisgebersystemen können Meldungen elektronisch über eine verschlüsselte Web-Anwendung eines externen Anbieters übermittelt werden, welche an das Unternehmen weitergeleitet werden. Hierfür wird der Hinweisgeber durch einen Meldeprozess mit vordefinierten Fragen zur Ermittlung der wichtigsten Informationen geführt. Manche webbasierten Systeme bieten für Mitarbeiter zudem die Möglichkeit sich einen passwortgeschützten Postkasten einzurichten, der die anonyme Kommunikation des Hinweisgebers mit dem Unternehmen ermöglicht. Die webbasierten Lösungen zählen derzeit sicherlich zur „state of the art“ der Hinweisgebersysteme und haben vor allem den Vorteil, dass Personen aufgrund der technischen Zusicherung der Anonymität eine geringere Hemmschwelle in Bezug auf die Abgabe von Meldungen haben könnten. Allerdings sind sie primär auf die Compliance-Bedürfnisse von Großkonzernen zugeschnitten. Für die Compliance-Bedürfnisse der Mehrzahl der mittelständischen und erst recht der kleinen Unternehmen dürften sie daher momentan noch zu teuer sein.

Bei den Ombudsmann-Modellen, wird die Hinweisgeberstelle bei einer externen, unabhängigen Person, in der Regel sind dies Rechtsanwälte, eingerichtet, welche eingehende Meldungen an das Unternehmen weiterleiten, auf Wunsch der meldenden Person auch anonym. Ombudsmann-Modelle können den Vorteil haben, dass sie auf Grund der Stellung außerhalb des Unternehmens möglicherweise höheres Vertrauen bei der Mitarbeiterschaft genießen. Zudem bieten Sie auf Grund der (in der Regel anwaltlichen) Fachkompetenz des eine Meldung entgegennehmenden Ombudsmanns auch eine erste Filter- und Beratungsfunktion. Nachteil des Ombudsmann-Hinweisgebersystems könnte u.a. jedoch sein, dass Mitarbeiter trotz der externen Stellung des Ombudsmanns diesen als letztlich doch ausschließlich im Auftrag und Interesse des Unternehmens Tätigen wahrnehmen könnten und diesem Meldekanal daher trotz Zusicherung von Anonymität und Vertraulichkeit kein Vertrauen schenken.

Praxistipps
  • Für in Deutschland ansässige Unternehmen der Finanz- und Versicherungsbranche, Verpflichtete nach dem Geldwäschegesetz und Unternehmen, die dem SOX unterfallen, gibt es bereits eine ausdrückliche gesetzliche Verpflichtung ein Hinweisgebersystem einzurichten.
  • Auch für Unternehmen, die bislang nicht ausdrücklich gesetzlich dazu verpflichtet sind, ist ein funktionierendes Hinweisgebersystem zu Zwecken der Strafmilderung bzw. Enthaftung ein Muss-Bestandteil für jedes Compliance Management System.
  • In Ermangelung gesetzlicher Vorgaben über das „Wie“ der konkreten Ausgestaltung des Hinweisgebersystems können Unternehmen hierüber selbst entscheiden.
  • Dies sollte anhand des Compliance Risiko-Profils Ihres Unternehmens erfolgen. Führen Sie unbedingt – schon vor Beginn der Einführung eines Compliance Management Systems – eine Compliance-Risiko-Analyse durch und nutzen Sie deren Ergebnisse!
  • Bieten Sie auch einen anonymen Meldekanal an, um die Wahrscheinlichkeit zu erhöhen bestimmte Hinweise überhaupt bzw. als Erster zu erhalten.
  • Sofern durch die Ergebnisse Ihrer Compliance-Risikoanalyse nicht anders erfordert, fangen Sie bei der Einführung von Hinweisgebersystemen lieber „klein“ an und starten Sie mit einem Hinweisgebersystem das einen überschaubaren finanziellen und organisatorischen Aufwand erfordert, bevor Sie sich gleich für ein technisch anspruchsvolles und teures System entscheiden. Auf ein solches können Sie bei Bedarf später immer noch „aufrüsten“.
  • Führen Sie in Ihrem Unternehmen eine Testphase durch und bewerten Sie danach den Fortentwicklungs-/Ergänzungsbedarf des Hinweisgebersystems.