Stellen Sie sich folgenden Sachverhalt vor: Jahrelang findet in Ihrem Unternehmen Bilanzfälschung statt. Sie ahnen etwas, haben aber keine echten Beweise und fürchten sich, etwas zu sagen, weil die Verantwortlichen Ihre Geschäftsleitung sind. Also, läuft es so weiter.
Die Beobachter stehen häufig machtlos solchen Situationen gegenüber. Und in den wenigen Fällen, in denen Unregelmäßigkeiten aufgedeckt werden, drohen den Whistleblowern empfindliche Sanktionen. Der bekannteste Whistleblower der Gegenwart ist wohl Edward Snowden, ehemaliger CIA-Agent (dem drohte zwischenzeitlich sogar die Todesstrafe), aber auch im Diesel-Skandal gab es einen, der Fehlverhalten aufdeckte und zum „Dank“ gekündigt wurde (Entlassen, ein Whistleblower im Dieselskandal).
Heikles Thema
Dass dieses Thema heikel ist, zeigen aktuelle Statistiken. Für den Whistleblowing Report 2019 hat die Hochschule für Technik und Wirtschaft in Chur (Whistleblowing Report 2019) in Kooperation mit der EQS Group AG in knapp 1.400 Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz das Thema „Meldestellen in europäischen Unternehmen“ untersucht.
Folgende Keyfacts wurden gefunden:
- 39% der Unternehmen waren 2018 von Missständen betroffen (Mit gut 43 Prozent sind in den befragten deutschen Unternehmen 2018 am häufigsten Missstände aufgetreten).
- 59% der Unternehmen verfügen über interne Meldestellen.
- 52 Hinweise gingen 2018 durchschnittlich als Meldung ein, die Hälfte davon war gehaltvoll und relevant.
Meldestellen sind somit ein wirksames Instrument, um illegales und unethisches Verhalten offenzulegen und können so auch entscheidend zum Schutz der Unternehmensreputation beitragen.
Bereits am 16.12.2019 erließ die Europäische Kommission die Richtlinie zum Schutz von Whistleblowern. Grundlegendes Ziel der Richtlinie ist es, die Aufdeckung und Unterbindung von Verstößen zu forcieren, gleichzeitig jedoch den Hinweisgeber besser zu schützen, sodass für diesen keine negativen Konsequenzen (z.B. Kündigung) als Folge der Meldung zu befürchten sind.
Richtlinien müssen innerhalb einer Frist (in der Regel) von zwei Jahren in nationales Recht der EU-Staaten umgesetzt werden, um grundsätzlich Rechtswirkung zu erzielen. Da sich aber Staaten bei Nichtumsetzung der Richtlinienpolitik einfach entziehen könnten, gelten viele Richtlinien nach Verstreichen der Umsetzungsfrist unmittelbar. Deutschland hat die Whistleblower-Richtlinie bis heute nicht umgesetzt. Es gibt derzeit nur einen Referentenentwurf.
Whistleblowing-Hotline
Ab dem 17.12.2021 ist es dann soweit – so oder so: Unternehmen in Deutschland mit 50 oder mehr Mitarbeitern müssen eine so genannte „Whistleblowing-Hotline“ eingeführt haben, um Missstände wie Bilanzfälschungen anonym melden zu können. Es geht dabei nicht nur um Bilanzfälschungen, sondern um jegliches illegales oder unethisches Verhalten in Unternehmen. Es geht beispielsweise um Korruption, Geldwäsche, Mobbing oder um Fälle, wenn sich ein Credit Manager regelmäßig von seinem Kunden, dem er Kredit gewährt, auf seine Yacht einladen lässt oder der Kunde ihm diese für seinen Urlaub „ausleiht“.
Der Whistleblower soll nach der Richtlinie die Möglichkeit erhalten, seine entsprechende Meldung entweder über ein Online-System, einen Briefkasten per Postweg oder auch über einen „Kummerkasten“ vor Ort, mündlich per Telefonhotline oder Anrufbeantwortersystem einreichen zu können. Je mehr Möglichkeiten, desto geringer die Meldeschwelle für die Whistleblower. Die Hinweisgeberstellen können extern oder intern implementiert werden. Personen in Unternehmen wie der Datenschutzbeauftragte stehen weiterhin als unabhängige Empfänger für mögliche Verstöße zur Verfügung, sind aber parallel zu den Meldestellen anzusiedeln. Darüber hinaus gibt es offizielle Institutionen, an die man entsprechende Hinweise geben kann, z.B. das Bundesamt für Finanzdienstleistungen (BaFin), das dafür zuständig ist, das Fehlverhalten innerhalb des Finanzsektors aufzudecken (Hinweisgeberstelle BaFin).
Anonymität gewährleisten
Eines – nein – wohl das Entscheidende beim Meldewesen ist, dass die Anonymität der Meldung und des Meldenden zu jedem Zeitpunkt gewährleistet bleibt. Hier kommt dann der Datenschutz ins Spiel. Internen Lösungen haftet per se der Makel an, nicht wirklich anonym zu sein, da über die internen Systeme eine Rückverfolgung auf den Hinweisgeber möglich erscheint. Bei einer externen Whistleblowing-Hotline ergibt sich die Anonymität über die Distanz. Bei Stellen wie dem Datenschutzbeauftragten hängt das Vertrauen sehr von der Person ab, obwohl diese in der Regel zur Verschwiegenheit gegenüber der Geschäftsleitung verpflichtet ist und keine Namen nennen darf, der Datenschutzbeauftragte ist beispielsweise gesetzlich verpflichtet.
Eine externe Lösung bietet – gefühlt – mehr Anonymität und – tatsächlich – weniger Aufwand. Wenn man also als Unternehmen eine externe Lösung präferiert, sollte man neben der 100prozentigen Anonymität noch andere wesentliche Datenschutzanforderungen beherzigen.
Viele der Anbieter von Whistleblowing-Systemen übermitteln und speichern ihre Daten in unsicheren Drittländern wie den USA, was spätestens nach dem Urteil des Europäischen Gerichtshofs (EuGH) zu „Schrems II“ (07/2020) durch viele Aufsichtsbehörden als sehr kritisch angesehen wird. Daher sollten die Rechenzentren der Anbieter (auch die Fall-back- oder Restore-Server) in der EU oder in einem Staat, der ein angemessenes Datenschutzniveau bietet, betrieben werden. Die Übermittlung in die USA ist aber nicht nur aus Datenschutzsicht kritisch. Gerade als Unternehmer sollte man nicht riskieren, dass die USA Informationen über Missstände erfahren, die sie für eigene Interessen ihrer Unternehmen nutzen können.
Verschlüsselte Kommunikation
Wichtig ist die verschlüsselte sowie sichere Kommunikation mit dem Hinweisgeber. Es hilft nichts, wenn der Hinweisgeber anonym meldet und danach (z.B. bei Nachfragen) sofort erkennbar wird. Die Kommunikation sollte End-to-End verschlüsselt sein, also vom Schreiben bis zum Öffnen der Nachricht. Eine Zwei-Faktor-Authentisierung sollte ebenfalls ein „Muss“ sein. Die Zwei-Faktor-Authentisierung bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten („Faktoren“), wie z.B. eine vom System vorgegebene PIN-Nummer und ein vom Hinweisgeber selbst festgelegtes Passwort.
In der EU-Richtlinie sind zudem Sanktionen vorgesehen. So müssen Unternehmen mit empfindlichen Strafen rechnen, die das Melden von Missständen behindern oder zu behindern versuchen (dazu gehört auch ein nicht effektives Meldesystem). Gleiches gilt, wenn Unternehmen die Identität des Hinweisgebers nicht vertraulich behandeln. Ebenso sollen Vergeltungsmaßnahmen gegen Whistleblower geahndet werden. Wie hoch diese Sanktionen ausfallen werden, kann derzeit noch nicht gesagt werden. Aber die Höhe der Sanktionen aus der EU-Datenschutzgrundverordnung zeigen, dass die europäische Union Unternehmen bei Compliance-Verstößen empfindlich treffen will.
Bis Dezember muss auf jeden Fall ein effektives Meldesystem implementiert sein. Man sollte das Thema also jetzt angehen.
Für Rückfragen oder weitere Informationen wenden Sie sich gerne an die Autoren dieses Beitrages.
Stephanie Iraschko-Luscher und Christian Huth