Hinweisgebersysteme für Unternehmen

Hinweisgebersysteme für Unternehmen

Ein Hinweisgebersystem ist Kern einer effektiven Compliance-Konzeption. Wir beraten und begleiten bei der Einführung und Weiterentwicklung solcher Systeme. Der rechtliche und organisatorische Rahmen ist vielschichtig und komplex. Wir stellen sicher, dass Unternehmen wissen, worauf es ankommt.

Warum brauchen Unternehmen Hinweisgeber?

„Whistleblower – Verräter oder Helden?“ – so zugespitzt wurde schon die Diskussion über den Wert oder Unwert von Hinweisgebern und damit auch von Hinweisgebersystemen geführt.

Unter Hinweisgebern (Whistleblower) versteht man dabei Personen, die Informationen über Missstände am Arbeitsplatz oder allgemein das Fehlverhalten von Einzelnen in Organisationen weitergeben. Sie tun dies an eine zur Entgegennahme solcher Informationen zuständige Stelle. Es kann sich um Straftaten wie Korruption, Betrug, Untreue, Geldwäsche oder andere Regelverstöße handeln.

Ziel der Hinweisgeber ist es, die Missstände im Unternehmen oder der Organisation zu verhindern und zu beenden. Verantwortungsvollen Hinweisgebern geht es dabei auch um eine Schadensbegrenzung als Vorteil für Unternehmen. Bereits im Jahr 2005 betonte die International Chamber of Commerce in ihren ICC Guidelines on Whistleblowing die Wichtigkeit effektiver Hinweisgebersysteme zur Verhinderung und Aufdeckung von Straftaten gegen die Wirtschaft.

An dieser Einschätzung hat sich nichts geändert.

Der aktuelle Rechtsrahmen

Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte

Schon im Jahr 2011 – in einem Fall aus Deutschland – wurde die Offenlegung von Missständen durch Hinweisgeber in einer Grundsatzentscheidung des Europäischen Gerichtshofs für Menschenrechte (EGMR) behandelt. Das Gericht sah den Hinweisgeberschutz als Bestandteil der Freiheit der Meinungsäußerung nach Artikel 10 der Europäischen Menschenrechtskonvention (EMRK) (EGMR, Urteil vom 21.07.2011 – 28274/08, Heinisch v. Germany).

Seitdem befasst sich der EGMR immer wieder mit der Problematik. Und das mit unterschiedlichen Ergebnissen. So auch im Jahr 2021, als der EGMR in einem Urteil vom 16.02.2021 – 23922/19 (Gawlik v. Liechtenstein) die fristlose Kündigung eines Arztes als rechtmäßig ansah, der sich als Whistleblower betätigt hatte. Der Hinweisgeber hatte ohne sorgfältige interne Prüfung den Verdacht einer schweren Straftat eines Vorgesetzten direkt bei der Staatsanwaltschaft angezeigt.

Rechtsprechung des Bundesarbeitsgerichts

Auch nach der Leitentscheidung des Bundesarbeitsgerichts (BAG) aus dem Jahr 2003 sind Arbeitnehmer:innen beim Whistleblowing verpflichtet, in zumutbarem Umfang auf die geschäftlichen Interessen ihrer Arbeitgeberin Rücksicht zu nehmen (BAG, Urteil vom 03.07.2003 – 2 AZR 235/02). Arbeitnehmer:innen können ihre Rücksichtnahmepflichten verletzen, wenn eine Strafanzeige gegen die Arbeitgeberin oder deren Repräsentanten eine unverhältnismäßige Reaktion ist. Damit stellt sich aktuell der Hinweisgeberschutz vor den deutschen Arbeitsgerichten als recht schwach ausgeprägt dar.

Die Richtlinie (EU) 2019/1937

In der Europäischen Union trat am 16.12.2019 die Richtlinie (EU) 2019/1937 in Kraft (EU-Whistleblower-Richtlinie). Sie regelt den Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Es handelt sich um den EU-Rechtsrahmen für den Schutz von Hinweisgebern.

Den sachlichen Anwendungsbereich legt Art. 2 Abs. 1 der EU-Whistleblower-Richtlinie fest. Erfasst werden Verstöße u.a. in den folgenden Bereichen:

  • Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhütung von Geldwäsche und Terrorismusfinanzierung,
  • Produktsicherheit,
  • Verkehrssicherheit,
  • Umweltschutz,
  • Lebensmittel- und Futtermittelsicherheit,
  • Tiergesundheit und Tierschutz,
  • öffentliche Gesundheit,
  • Verbraucherschutz,
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen.

Dabei können die EU-Mitgliedstaaten ihr Recht zum Hinweisgeberschutz auf weitere Bereiche erstrecken.

Der persönliche Anwendungsbereich der EU-Whistleblower-Richtlinie umfasst Hinweisgeber, die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben. Geschützt sind nicht nur die Hinweisgeber selbst, sondern auch die betroffenen Personen, die Gegenstand der Meldung sind, Kollegen sowie die Familie.

Pflicht zur Einrichtung eines Hinweisgeber-Systems

Gemäß Art. 8 EU-Whistleblower-Richtlinie sind Unternehmen mit 50 oder mehr Mitarbeitern, jegliche Unternehmen der Finanzdienstleistungsbranche sowie juristische Personen des öffentlichen Sektors zukünftig verpflichtet, ein internes Whistleblowing-System einzurichten. Diese internen Meldekanäle müssen die Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen.

Alle übermittelten Informationen müssen in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form dokumentiert werden. Nach sieben Tagen ist der Eingang des Hinweises zu bestätigen.

Interne Meldung, externe Meldung und Offenlegung

Durch die EU-Whistleblower-Richtlinie sind für eine Meldung von Missständen grundsätzlich drei Stufen vorgesehen:

 

Hinweisgeber dürfen grundsätzlich frei wählen, ob die Meldung an eine interne Stelle (z.B. Hotline, externe Rechtsanwaltskanzlei als Ombudsstelle oder digitales Hinweisgebersystem) innerhalb des Unternehmens gerichtet wird oder ob sie sich an eine externe zuständige Meldestelle/Behörde wenden. Allerdings sollen sich die Mitgliedstaaten dafür einsetzen, dass die Meldung zunächst intern durchgeführt wird. Eine Offenlegung ist grundsätzlich nachrangig, d. h. sie muss erst nach einer internen oder externen Meldung erfolgen. In Ausnahmefällen, wie beispielweise bei einer unmittelbaren oder offenkundigen Gefährdung öffentlicher Interessen, dürfen Hinweisgeber die Informationen über Missstände jedoch auch direkt offenlegen.

Vertraulichkeitsgebot und datenschutzgerechte Gestaltung

Die Vertraulichkeit der Identität von Hinweisgebern und Dritten, die in der Meldung erwähnt werden, ist zwingend zu wahren. Externe Meldekanäle müssen Unternehmen so gestalten, dass sie Vollständigkeit, Integrität und Vertraulichkeit der Informationen gewährleisten.

Bezüglich der Verarbeitung personenbezogener Daten ist in Art. 17 EU-Whistleblower-Richtlinie geregelt, dass diese im Einklang mit der Datenschutz-Grundverordnung (DSGVO) stehen muss.

Einschränkung des Schutzes von Hinweisgebern

Um missbräuchliche Meldungen sowie leichtfertig falsche Meldungen zu verhindern, legt Art. 6 EU-Whistleblower-Richtlinie zwei wesentliche Voraussetzungen für den Schutz von Hinweisgebern fest:
Sie müssen

  1. hinreichenden Grund zu der Annahme gehabt haben, dass die gemeldeten Informationen zum Zeitpunkt der Meldung der Wahrheit entsprachen und
  2. müssen die Meldungen durch in der Richtlinie vorgesehenen Meldewege erstattet werden.
Schutzmaßnahmen für Hinweisgeber

Zentral ist der Schutz vor Repressalien und deren Androhung, beides ist durch Art. 19 EU-Whistleblower-Richtlinie verboten. Typische Repressalien sind Kündigung, Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags, Änderung des Arbeitsortes/der Arbeitsbedingungen u.ä. Zusätzlich müssen die Mitgliedstaaten den Hinweisgebern unterstützende Regelungen anbieten.

Hinweisgeber sind auch vor einer Haftung geschützt, sofern ein hinreichender Grund für die Meldung oder Offenlegung besteht. Hier greift eine Beweislastumkehr zugunsten der Hinweisgeber: Die Person, die die benachteiligende Maßnahme ergriffen hat, muss beweisen, dass diese Maßnahme auf hinreichend gerechtfertigten Gründen basierte.

Entwurf des Hinweisgeberschutzgesetzes

In Deutschland wurde schon mit der Umsetzung der EU-Whistleblower-Richtlinie in nationales Recht begonnen. Bislang existiert aber lediglich ein Regierungsentwurf vom 19.09.2022 zu einem Hinweisgeberschutzgesetz (HinSchG), zu dem der Bundestag am 29.09.2022 in erste Lesung beraten hat. Der Entwurf sieht eine Verstärkung des durch die EU-Richtlinie vorgesehenen Hinweisgeberschutzes vor. So soll das HinSchG nicht nur Verstöße gegen europäisches Recht erfassen, sondern auch Verstöße gegen deutsches Recht. Es ist also eine überschießende Umsetzung geplant. Hier werden insbesondere Verstöße, die straf- oder bußgeldbewehrt sind, genannt. Und weiter sind zwei gleichberechtigt nebeneinanderstehende Meldewege vorgesehen: Die hinweisgebende Person hat ein Wahlrecht , ob sie sich an interne oder externe Meldestellen wendet. Dabei soll es Hinweisgebern offenstehen, sich auch noch an eine externe Meldestelle zu wenden, wenn einem zunächst intern gemeldeten Verstoß nicht abgeholfen wurde. Das Gesetzgebungsverfahren ist noch nicht abgeschlossen.

Andere Gesetze mit Bezug zum Hinweisgeberschutz

Das ab dem 01.01.2023 geltende Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG) regelt die Sorgfaltspflichten, die auf den UN-Leitprinzipien für Wirtschaft und Menschenrechte basieren. Diese Pflichten beinhalten Maßnahmen zur Einhaltung von Menschenrechten und Umweltschutzvorgaben, sowohl im eigenen Geschäftsbereich als auch innerhalb der Lieferkette von Unternehmen einer bestimmten Größe, die in Deutschland ansässig sind.

Diese Pflichten aus dem LkSG fordern von Unternehmen die Einrichtung eines Whistleblowing-Systems. Denn gemäß §§ 3, 8 LkSG ist ein Beschwerdeverfahren im Unternehmen zu etablieren.

Damit können Angehörige des Unternehmens auf menschenrechtliche und umweltbezogene Risiken oder Verletzungen im eigenen Geschäftsbereich sowie auch von mittelbaren- und unmittelbaren Zulieferern hinweisen. Das Beschwerdeverfahren kann man durch ein digitales Hinweisgebersystems effektiv gestalten.

Wie sollten Unternehmen den Schutz von Hinweisgebern umsetzen?

Orientieren Sie sich an der Rechtsprechung und den gesetzlichen Vorgaben

Unternehmen sollten sich bei der Umsetzung des Schutzes von Hinweisgebern vor allem an der Rechtsprechung und den gesetzlichen Vorgaben orientieren. Die EU-Whistleblower-Richtlinie richtet sich an die EU-Länder und muss von diesen in nationales Recht umgesetzt werden. Das Hinweisgeberschutzgesetz (HinSchG) befindet sich in den letzten Zügen des Gesetzgebungsverfahrens. Mit dem Inkrafttreten ist noch im Jahr 2022 zu rechnen. Aber nach dem 17.12.2021 (Ablauf der Umsetzungsfrist) könnten sich Hinweisgeber gegenüber dem Staat eventuell direkt auf die EU-Richtlinie berufen.

Die unmittelbare Anwendbarkeit einer EU-Richtlinie auf Unternehmen lehnt der Europäische Gerichtshof (EuGH) bisher ab. Das heißt, Hinweisgeber können sich in der Praxis gegenüber einer Arbeitgeberin nicht direkt auf die EU-Whistleblower-Richtlinie berufen. Im Rahmen eines Gerichtsverfahrens könnten Hinweisgeber aber verlangen, dass ein Gericht das deutsche Recht im Licht der EU-Richtlinie auslegt. Ein Beispiel wären Kündigungsschutzklagen vor Arbeitsgerichten, in denen sich gekündigte Hinweisgeber auf den Schutz der EU-Whistleblower-Richtlinie berufen.

Darf der Betriebsrat beim Hinweisgeberschutz mitbestimmen?

Bei der Einführung eines Hinweisgebersystems müssen Unternehmen das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG beachten. Das Mitbestimmungsrecht besteht bei der Einführung des Whistleblowing-Systems (Hotline, Software usw.) hinsichtlich der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer:innen bei einer Meldung im Betrieb sowie hinsichtlich der Einführung und Anwendung von technischen Einrichtungen.

Ist Hinweisgeberschutz mit dem Geschäftsgeheimnisgesetz vereinbar?

Geschäftsgeheimnisse gemäß § 2 Nr. 1 Geschäftsgeheimnisgesetz (GeschGehG) unterliegen einem besonderen Schutz. Dieses Schutzniveau kann auch für die Meldungen von Hinweisgebern relevant werden. Hier ist § 5 Nr. 2 GeschGehG einschlägig.

Ausgangspunkt ist das Aufdecken einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens. Dies muss dazu dienen, das allgemeine öffentliche Interesse zu schützen. Dann liegt keine Verletzung von Geschäftsgeheimnissen und damit auch keine Strafbarkeit nach § 23 GeschGehG vor.

Ist Hinweisgeberschutz mit Datenschutz vereinbar?

Für den Hinweisgeberschutz ergibt sich der datenschutzrechtliche Rahmen aus der Datenschutz-Grundverordnung (DSGVO).

Nach Art. 16 RL (EU) 2019/1937 (EU-Whistleblower-Richtlinie) wird die Vertraulichkeit des Whistleblowings gewährleistet. Das bedeutet, dass die Meldestellen die Identität von Hinweisgebern vertraulich behandeln müssen. Das Whistleblowing darf daher anonym durchgeführt werden.

Nach Art. 17 EU-Whistleblower-Richtlinie soll das Whistleblowing im Einklang mit der DSGVO stehen. Das könnte zu einem Dilemma führen. Denn nach Art. 14 DSGVO muss man die betroffenen Arbeitnehmer:innen, die in einer Meldung genannt oder gar beschuldigt werden, über die Zwecke der Datenverarbeitung sowie die Identität des Hinweisgebersinformieren. Das hat grundsätzlich spätestens einen Monat nach der Meldung zu geschehen. Zusätzlich haben die betroffenen Arbeitnehmer:innen nach Art. 15 DSGVO einen Anspruch auf Auskunft über den ihre Person betreffenden Inhalt der Meldung. Dem widerspricht, dass nach Art. 16 der EU-Whistleblower-Richtlinie die Identität von Hinweisgebern nicht offenzulegen ist.

Eine Lösung kann hier Art. 23 Abs. 1 DSGVO bieten: Die Rechte und Pflichten aus Art. 14 und 15 DSGVO können durch Rechtsvorschriften beschränkt werden, wenn es sich um notwendige und verhältnismäßige Maßnahmen handelt. Das können Maßnahmen zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (Art. 23 Abs. 1 lit. d) DSGVO) oder auch zur Durchsetzung zivilrechtlicher Ansprüche sein (Art. 23 Abs. 1 lit. j) DSGVO). Dann müsste die Identität von Hinweisgebern nicht vertraulich behandelt werden. Aus der Begründung des Regierungsentwurfs ergibt sich, dass dieses Problem über § 29 BDSG gelöst wird. Gemäß der Begründung des Regierungsentwurfs lässt sich über die im Rahmen des § 29 Absatz 1 BDSG geforderte Interessenabwägung der erforderliche Gleichlauf zwischen dem Vertraulichkeitsschutz und datenschutzrechtlichen Informationspflichten und Auskunftsrechten herstellen. Nach § 29 Absatz 1 Satz 1 BDSG treffen den datenschutzrechtlich Verantwortlichen keine Informationspflichten, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen. Nach § 29 Absatz 1 Satz 2 BDSG besteht das Recht zur Auskunft der betroffenen Person nicht, soweit durch die Auskunft Informationen offenbar würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten (was regelmäßig hinsichtlich der hinweisgebenden Person – auch nach Abschluss der Ermittlungen – anzunehmen ist) geheim gehalten werden müssen. Soweit Informationen dem Vertraulichkeitsgebot unterliegen, sind diese nach § 29 Absatz 1 BDSG grundsätzlich geheim zu halten.

Best Practice zum Hinweisgeberschutz für Unternehmen

Guidelines Whistleblowing Management Systems nach ISO 37002

Im Juli 2021 wurde mit der ISO 37002 eine ISO-Norm veröffentlicht, die sich als erster Standard der International Organization for Standardization vollständig dem Whistleblowing-Management widmet. Sie soll dazu dienen, Organisationen mit Leitlinien, empfohlenen Vorgehensweisen und praktischen Anleitungen bei der Einrichtung eines Hinweisgeber-Systems zu unterstützen.

Es geht dabei nicht um die Hinweisgeber selbst, sondern darum, wie mit Hinweisen auf Fehlverhalten effektiv umzugehen ist:

  • Empfang von Meldungen,
  • Beurteilung sowie
  • Einstufung der Meldungen und deren Bearbeitung.

Die ISO 37002 ist als Guideline geschrieben. Sie kann auch sehr gut in Verbindung mit anderen Standards verwendet werden, z.B. Organisationsführung (ISO26000) und Korruptionsbekämpfung (ISO37001), Compliance (ISO37301) und anderen Managementsystemen.

Notwendigkeit der Einführung eines Hinweisgebersystems

Nicht nur nach deutschem Recht (§ 93 AktG, §§ 3, 8 Lieferkettensorgfaltspflichtengesetz), sondern auch nach dem Internationalen Standard ISO 37301 (ex ISO 19600) für Compliance Management System sowie ISO 37002 ist das Management verantwortlich für die Unternehmens-Compliance.

Hier spielt auch die extraterritoriale Anwendung verschiedener wichtiger ausländischer Gesetze eine Rolle: Der UK Bribery Act, das britische Antikorruptionsgesetz, und die US Federal Sentencing Guidelines, die US-amerikanischen Richtlinien für die Strafzumessung durch Bundesgerichte, sollten Unternehmen in diesem Zusammenhang beachten. Bei Verstößen gegen den UK Bribery Act droht den handelnden Personen eine Freiheitsstrafe von bis zu zehn Jahren oder eine der Höhe nach unbegrenzte Geldstrafe. Eine derartige Geldstrafe kann auch Unternehmen treffen. Dementsprechend sollte ein Unternehmen nach Section 7 (2) des UK Bribery Act ein angemessenes Compliance-Management-System (CMS) als Adequate Procedures einrichten, um Korruptionsrisiken vorzubeugen und zu verhindern. Diese Prävention führt in der Praxis bei Gerichtsverfahren zu einer Strafmilderung. Ein solches CMS schließt grundsätzlich ein unternehmensinternes Hinweisgebersystem ein.

Ähnlich kann nach dem Grundsatz des Kapitel 8 der US Federal Sentencing Guidelines durch (i) ein wirksames Compliance- und Ethikprogramm und (ii) Selbstanzeige, Kooperation oder Übernahme von Verantwortung die Bestrafung eines Unternehmens abgemildert werden. Auch hier ist also das unternehmensinterne Hinweisgebersystem ein wichtiges Element.

Immer mehr Unternehmen gehen sogar dazu über, für einzelne Bereiche ein CMS zu etablieren – zum Beispiel ein HR-Compliance-Management-Systeme. Diese enthalten dann selber wiederum zwingend ein internes Hinweisgebersystem.

Allgemein kann man festhalten:
Ein Unternehmen wird immer davon profitieren, frühzeitig durch interne Meldekanäle über Fehlverhalten informiert zu werden.

Überblick zu den Elementen eines Hinweisgeber-Systems

 

 

Einrichtung der verantwortlichen Stelle

Häufig wird in der Praxis eine interne unabhängige Compliance-Abteilung im Unternehmen als verantwortliche Stelle für ein Hinweisgebersystem eingerichtet. Um dieses System effektiv zu gestalten, sollte die Abteilung durch eine unabhängige und qualifizierte Person, eine/n Compliance Officer, betreut werden.

Wesentlich ist, dass in der verantwortlichen Stelle ausreichend Personal, in der Regel mindestens zwei zuständige Personen, vorhanden sind. So kann man wirksam Meldungen zu möglichem Fehlverhalten aufnehmen und reagieren. Zusätzlich sollten die zuständigen Personen die fachliche Eignung und ausreichende juristische Kenntnisse mitbringen, um die Ermittlung der Sachverhalte erfolgreich durchführen und die Meldungen durch interne Untersuchungen effizient und effektiv bewerten zu können.

 

Aufbau einer Compliance-Kultur im Unternehmen

Eine einheitliche Compliance-Kultur im Unternehmen ist nach dem Internationalen Compliance-Standard ISO 37301 die Voraussetzung für ein wirksames Compliance-Management-System. Um ein Hinweisgebersystem aufzubauen, sollte vor allem ein Code of Conduct (Verhaltenskodex) im Unternehmen verbindlich und einheitlich gelten. Das ist der erste Schritt zum Aufbau der Unternehmens-Compliance. Im Code of Conduct sollte das Management möglichst den Prozess eines Hinweisgebersystems in einer verständlichen Weise beschreiben. Wichtige Aspekte dabei sind Antworten auf folgende Fragen:

  • Was darf gemeldet werden?
  • An welche Stelle sollen Beschäftigte Missstände melden?
  • Wie wird eine Meldung dokumentiert?
  • Wer führt die notwendigen internen Ermittlungen, um Fehlverhalten aufzuklären?
  • Welche Sanktionen sind als Reaktion auf Compliance-Vorfälle möglich und nötig?

 

Einrichtung des internen Meldekanals

Vor dem Hintergrund der Pflicht zur Einrichtung eines internen Meldekanals haben Unternehmen mehrere Möglichkeiten:

  • Angebot einer Whistleblower-Hotline:
    Bei den Hinweisempfängern kann es sich dabei um unternehmensinterne oder externe Ansprechpartner handeln. In der Praxis ist eine Whistleblower-Hotline nicht immer zu empfehlen. Zum einen ist die Dokumentation der Meldungen hier schwierig. Zum anderen zeigt die Erfahrung, dass solche Hotlines häufig von Arbeitnehmer:innen auch für arbeitsrechtliche Fragen, Beschwerden usw. genutzt werden. Das ist nicht der Zweck einer Whistleblower-Hotline. Und schließlich kann der Kostenfaktor (Einrichtungskosten, Personalkosten für den Betrieb) eine Rolle spielen.
  • Einrichtung eines IT-gestützten Hinweisgebersystems:
    Hier kommen vor allem externe Anbieter ins Spiel. Eine IT-gestützte Whistleblowing-Software hat im Vergleich zu einer Whistleblower-Hotline Vorteile. Ein digitales System bietet oft effiziente Verwaltung und Dokumentation der eingehenden Hinweise. Dazu kommt eine vollständig anonyme Meldung durch die Hinweisgeber. Diese Systeme sind weltweit und jederzeit erreichbar. Viele Anbieter arbeiten mit einer Software, die hohe Anforderungen an den internen Meldeweg erfüllt, insbesondere im Hinblick auf die Beschränkung der Zugriffsberechtigung und den Datenschutz.
  • Einsatz externer Experten
    Rechtsanwält:innen erfüllen aufgrund ihrer berufsrechtlichen Verschwiegenheitspflicht eine wichtige Voraussetzung für den Einsatz als Ombudsleute. Sie können auch neben einer Whistleblower-Hotline oder einem IT-gestützten Hinweisgebersystem arbeiten. Rechtsanwält:innen als Ombudsleute sichern aufgrund ihrer Stellung eine umfassende Neutralität und genießen auf diese Weise oftmals gesteigertes Vertrauen und Akzeptanz bei potenziellen Hinweisgeber:innen. Das wirkt sich positiv auf die Compliance-Kultur eines Unternehmens aus.

 

Kommunikation und Schulungen im Unternehmen

Die regelmäßige Kommunikation mit allen Beschäftigen sowie Schulungen im Unternehmen sind nach dem ISO 37301 sowie ISO 37002 Standard entscheidend für ein erfolgreiches Hinweisgebersystem. Daher sollten Schulungen insbesondere hinsichtlich der konkreten Inhalte des Code of Conduct sowie des Konzepts des Hinweisgebersystems für die Beschäftigen und die Compliance-Beauftragten durchgeführt werden.

Ergänzend kann eine Erhebung hinsichtlich der Zufriedenheit der Mitarbeiter mit dem Hinweisgebersystem sinnvoll für die Verbesserung des gemeinsamen Compliance-Management-Systems sein.

 

Dokumentation & Untersuchung – Behandlung der Meldungen

Gemäß Art. 18 der EU-Whistleblower Richtlinie müssen alle eingehenden Hinweise, einschließlich der mündlichen Meldungen (z.B. im Rahmen von Whistleblower-Hotlines) im Einklang mit den Vertraulichkeitspflichten gemäß Art. 16 EU-Whistleblower Richtlinie dokumentiert werden.

Eine einfache Dokumentation der Meldungen ist nicht immer ausreichend für eine effektive Bearbeitung. Gerade bei mittleren und großen Unternehmen bietet es sich an, die Meldungen nach Art und den Meldungsgründen zu kategorisieren und priorisieren. Im Anschluss an die Bearbeitung muß eine Untersuchung durchgeführt werden, um den Compliance-Vorfall vollständig aufzuklären. Die Untersuchung kann sowohl durch Interne als auch extern durch eine Rechtsanwaltskanzlei oder externe eine Behörde (wenn notwendig), erfolgen.

Die Guidelines on Whistleblowing der International Chamber of Commerce empfehlen ausdrücklich den Einsatz einer unabhängigen Rechtsanwaltskanzlei zur Behandlung und Untersuchung von Hinweisgeber-Meldungen. Dafür spricht auch die ISO 37301, nach der der Untersuchungsprozess unabhängig, fair und ohne Interessenkonflikt von kompetenten Fachleuten gesteuert sein soll.

 

Monitoring, Analyse und Verbesserung

Schließlich spielen die regelmäßige Analyse und Überwachung des Hinweisgebersystems bzw. des Compliance-Management-Systems nach dem ISO 37301 Standard eine wichtige Rolle.

Die Compliance-Abteilung muss das Hinweisgebersystem lückenlos überwachen, um sicherzustellen, dass die Compliance-Ziele erreicht werden. Außerdem sollte man die Leistung und die Wirksamkeit des Hinweisgebersystems regelmäßig auswerten. Ziel muss es sein, die Eignung, Angemessenheit und Wirksamkeit kontinuierlich zu verbessern.

Wie können wir helfen?

Unser Team von arbeitsrechtlich spezialisierten Compliance-Expert:innen hat langjährige, umfangreiche und praktische Erfahrung in der Entwicklung, Einführung und Umsetzung der Instrumente, mit denen Unternehmen ein aktives und proaktives Whistleblowing-System implementieren können.

Das BUSE Compliance-Team steht Ihnen zur Verfügung, damit Sie Ihre Unternehmensziele erreichen. Wir helfen Ihnen dabei, Compliance-Risiken bereits zum Zeitpunkt ihrer Entstehung zu vermeiden. Wenn sich Compliance-Risiken realisiert haben, unterstützen wir Sie dabei, Gefahren schnell zu identifizieren und nachhaltig zu neutralisieren.

Basierend auf der langjährigen operativen Erfahrung unserer Team-Mitglieder implementieren wir strategische, flexible und praxiserprobte Konzepte, die höchsten Standards und Qualitätsanforderungen genügen. So gelingt es unseren Mandanten, die Anforderungen an ein Hinweisgeber-System zu erfüllen – in Deutschland, in der Europäischen Union und weltweit.