Hinweisgebersysteme

Anmerkungen

[1]

KOM (2018) 218 endgültig.

[2]

KOM (2018) 214 endgültig.

[3]

Vgl. auch Erwägungsgrund Nr. 44 der EU-Hinweisgeberrichtlinie.

[4]

Vgl. Art. 20 Abs. 1 lit a) EU-Hinweisgeberrichtlinie.

[5]

Vgl. ausführlich zur Beweislastumkehr etwa Johnson CCZ 2019, 66.

[6]

Referentenentwurf, Bearbeitungsstand 26.11.2020.

[7]

Begründung Referentenentwurf (Stand: 26.11.2020), S. 30.

[8]

Vgl. hierzu Begründung Referentenentwurf (Stand: 26.11.2020), S. 30.

[9]

Art. 6 Abs. 1 lit. a) der EU-Hinweisgeberrichtlinie.

[10]

Siehe hierzu auch Erwägungsgrund Nr. 32 der EU-Hinweisgeberrichtlinie.

[11]

Vgl. Art. 23 Abs. 2 der EU-Hinweisgeberrichtlinie.

[12]

Begründung Referentenentwurf (Stand: 26.11.2020), S. 31. Siehe Rn. 3.

1. Kapitel Einführung › IV. Missbrauch von Hinweisgebersystemen – Eine empirische Untersuchung

IV. Missbrauch von Hinweisgebersystemen – Eine empirische Untersuchung

1. Kapitel Einführung › IV. Missbrauch von Hinweisgebersystemen – Eine empirische Untersuchung › 1. Einleitung

1. Einleitung

19

Mit der Verabschiedung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden[1] („EU-Hinweisgeberrichtlinie“) ist die Einführung von Hinweisgebersystemen auf europäischer Ebene neu geregelt worden. In diesem Zusammenhang ist erneut und auch zu Recht auf die mannigfachen Vorteile derartiger Systeme hingewiesen worden.

20

Diskutiert man das Thema in der betrieblichen Praxis, so stößt man dennoch häufig auf eine Reaktion, die sich umschreiben lässt mit „der Verstand sagt ja, der Bauch sagt nein“. Dieses Bauchgefühl resultiert aus einem einzigen Sachverhalt: das System, so die Befürchtung, kann missbraucht werden. Hinweise könnten wissentlich falsch abgegeben und Personen zu Unrecht beschuldigt werden. Und in der Tat kommt es leider vor, dass, aus welchen Gründen auch immer, bewusst falsche Meldungen abgegeben werden (was übrigens selbst einen schwerwiegenden Compliance-Verstoß darstellt). Aber die grundlegende Frage bleibt, ob es sich hierbei um beklagenswerte Einzelfälle handelt oder ob der Missbrauch von Hinweisgebersystemen nicht doch in einem größeren Umfang stattfindet. Diese Fragestellung gewinnt zusätzliche Relevanz, sobald die Möglichkeit einer anonymen Meldung oder einer Meldung durch externe Dritte besteht.

21

Umso erstaunlicher ist es, dass es hierzu bisher kaum belastbare neutrale Untersuchungen gibt. Allein die Anbieter von Internet-basierten Meldesystemen haben bei ihren jeweiligen Kunden Ergebnisse erhoben,[2] jedoch mit unterschiedlichem Rahmen und unterschiedlichem Untersuchungsdesign. Doch nur durch gesicherte empirische Erkenntnisse kann das vorhandene Misstrauen gegenüber Hinweisgebersystemen beseitigt werden. Daher wurde im Rahmen einer Masterarbeit an der TU Dresden diese Fragestellung aufgegriffen. Die durchgeführte Umfrage wurde von 43 Unternehmen beantwortet, deren Größenverteilung nach Anzahl der Mitarbeiter aus Abb. 1 unter Rn. 34 ersichtlich ist. Aus den Antworten lassen sich Kernthesen ableiten, die im nächsten Abschnitt vorgestellt und begründet werden. Es folgt ein weiterer Abschnitt mit den Untersuchungsergebnissen im Detail.

Anmerkungen

[1]

Richtlinie des Europäischen Parlaments und des Rates v. 23.10.2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, ABlEU Nr. L 305/17 v. 26.11.2019.

[2]

Siehe etwa BKMS Benchmarking Report (nur Untersuchungsteilnehmern zugänglich) und Hauser/Hergovits/Blumer EQS HTW Chur Whistleblowingreport 2019.

1. Kapitel Einführung › IV. Missbrauch von Hinweisgebersystemen – Eine empirische Untersuchung › 2. Die Kernthesen

2. Die Kernthesen

22

Die wichtigsten Auswertungsergebnisse der Antworten der 43 Unternehmen lassen sich in drei Kernthesen (KT1 bis KT3) zusammenfassen.

23

Dabei beziehen sich alle nachfolgend aufgeführten Prozentsätze ausschließlich auf Compliance-relevante Hinweise, bei denen also aufgrund des eingegangenen Hinweises im Case-Management ein Fall eröffnet worden ist. Mit anderen Worten: die Grundgesamtheit der hier betrachteten Hinweise ist um fehlgeleitete Hinweise (z.B. Kundenbeschwerden) und fehlerhafte Hinweise (z.B. vollkommen unspezifisch oder offensichtlich unsinnig) bereinigt.

24

Diese Compliance-relevanten Hinweise werden dann kategorisiert in

25

In die Kategorie „eventuell Missbrauch“ fallen Hinweise, bei denen am Ende der Untersuchung zur Aufklärung des Sachverhalts ein Missbrauch nicht nachgewiesen, aber auch nicht ausgeschlossen werden kann.

26

Das Untersuchungsdesign erlaubt die Auswertung getrennt nach anonymen und nicht-anonymen Hinweisen, nach Unternehmensgröße, nach Branche des Unternehmens und nach der Möglichkeit, ob auch Unternehmensexterne Hinweise abgeben können.

a) KT1: Fast 90 % aller Hinweise werden in guter Absicht abgegeben

27

Bei 84 % der Hinweise liegt nach Aussage der teilnehmenden Unternehmen mit Sicherheit kein Missbrauch vor. Hinzu kommt der nicht exakt zu bestimmende Anteil der rund 6 % der Hinweise, die eventuell Missbrauch darstellen.

28

Umgekehrt lässt sich somit feststellen, dass mindestens 10 % der Hinweise in missbräuchlicher Absicht abgegeben werden.

29

Während die fast 90 % in guter Absicht gegebenen Hinweise eindrucksvoll die Berechtigung und Bedeutung von Hinweisgebersystemen unterstreichen, verdeutlichen die verbleibenden (mindestens) 10 % die Notwendigkeit eines professionellen Case-Managements. Wenn jeder zehnte Hinweis bewusst falsch abgegeben wird und wenn darüber hinaus Hinweise zwar in guter Absicht abgegeben werden, aber trotzdem faktisch falsch sein können, dann müssen die in den Hinweisen ggf. beschuldigten Personen bis zum Beweis des Gegenteils zwingend als unschuldig gelten und müssen durch größtmögliche Vertraulichkeit in der Phase der Ermittlungen besonders geschützt werden. Falls beschuldigte, aber unschuldige Personen im Zuge von Aktivitäten zur Aufklärung abgegebener Hinweise Schaden nehmen, entsteht ein fast irreparabler Schaden für das Instrument des Hinweisgebersystems.

b) KT2: Der Prozentsatz missbräuchlicher Meldungen ist unabhängig davon, ob der Hinweis anonym abgegeben worden ist oder nicht

30

Sowohl bei anonymer als auch bei nicht-anonymer Hinweisabgabe liegt der Prozentsatz nicht missbräuchlich abgegebener Hinweise bei 84 %. Bei anonymen (nicht anonymen) Hinweisen liegt in 9 % (11 %) der Fälle definitiv Missbrauch vor, in 7 % (5 %) der Fälle eventuell (vgl. Abb. 2 und 3 unter Rn. 35 f.).

31

Das oft vorhandene intuitive Gefühl, dass bei anonymen Hinweisen häufiger Missbrauch vorliegt, hat die Studie nicht bestätigt.[1] Ein oftmals vorgetragenes Argument gegen die anonyme Hinweisabgabe ist somit nicht stichhaltig. Eine offene Hinweisabgabe als bevorzugte Alternative ist unbestritten, aber die Vorteile der Anonymität als „Ultima Ratio“ (niedrigere Hemmschwelle, höhere Anzahl an Meldungen) überwiegen deutlich die Nachteile (evtl. kulturelle Aspekte). Wenngleich im HinSchG-E keine Pflicht zur Nachverfolgung anonymer Meldungen vorgesehen ist,[2] kann auf der Basis der vorliegenden empirischen Ergebnisse den Unternehmen und Dienststellen nur angeraten werden, im eigenen Interesse auch anonymen Hinweisen nachzugehen und so das diesen inhärente Erkenntnispotenzial zu nutzen.

c) KT3: Die Öffnung des Hinweisgebersystems für Externe führt nicht zu einer Erhöhung missbräuchlicher Meldungen

32

Wird das Hinweisgebersystem für Externe, also z.B. für Kunden und Lieferanten, geöffnet, steigt der Anteil eindeutig nicht-missbräuchlicher anonymer und nicht-anonymer Meldungen im Mittel von 80 % auf 85 % (vgl. Abbildungen 4-7 unter Rn. 37 ff.).

33

Zusätzlich sinkt mit der Systemöffnung deutlich (-9 %) der Prozentsatz der Hinweise, bei denen eventuell Missbrauch vorliegt, während der Prozentsatz definitiv missbräuchlicher Meldungen im Mittel um 4 % steigt. Allerdings sind es nur sechs Unternehmen, die externe Hinweisabgabe nicht zulassen. Die empirische Basis ist somit nur durchschnittlich. Die Kernthese, dass die Öffnung des Systems für Externe nicht zu einer Erhöhung missbräuchlicher Meldungen führt, erscheint jedoch gerechtfertigt.

Anmerkungen

[1]

In diesem Sinne auch Hauser/Hergovits/Blumer EQS HTW Chur Whistleblowingreport 2019, S. 58.

[2]

Vgl. hierzu § 16 und 26 Abs. 1 S. 2 HinSchG-E sowie die Begründung Referentenentwurf (Stand: 26.11.2020), S. 29: „Verpflichtende Vorgaben für den Umgang mit anonymen Hinweisen sieht die HinSch-RL nicht vor. Weder interne noch externe Meldestellen sind verpflichtet, technische Mittel oder Verfahren für anonyme Meldungen vorzuhalten.“ Siehe auch Begründung Referentenentwurf (Stand: 26.11.2020), S. 31 f.: „Um das neue Hinweisgeberschutzsystem nicht zu überlasten und erste Erfahrungen sowohl interner wie auch externer Meldestellen abzuwarten, ist keine Pflicht zur Bearbeitung anonymer Hinweise vorgesehen. Denn damit einhergehen würden nicht nur zusätzliche Kosten für die notwendigen technischen Vorrichtungen, sondern auch die Gefahr von denunzierenden Meldungen und einer Überlastung der Meldestellen. Gleichwohl fallen anonyme Hinweisgeberinnen und Hinweisgeber unter die Schutzbestimmungen, wenn ihre zunächst verdeckte Identität bekannt wird (vergleiche § 27 Absatz 1 Satz 2 HinSchG-E).“

1. Kapitel Einführung › IV. Missbrauch von Hinweisgebersystemen – Eine empirische Untersuchung › 3. Untersuchungsergebnisse im Detail

3. Untersuchungsergebnisse im Detail

34

Abb. 1

[Bild vergrößern]

35

Abb. 2

[Bild vergrößern]

36

Abb. 3

[Bild vergrößern]

37

Abb. 4

[Bild vergrößern]

38

Abb. 5

[Bild vergrößern]

39

Abb. 6

[Bild vergrößern]

40

Abb. 7

[Bild vergrößern]

2. Kapitel Grundprinzipien eines Compliance Management Systems

Inhaltsverzeichnis

I. Grundlagen

II. Der Weg zu einem effektiven Compliance Management System

2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen

I. Grundlagen

41

Es ist inzwischen anerkannt, dass ein Hinweisgebersystem wesentlicher Bestandteil eines effektiven Compliance Management Systems (CMS) ist.[1] Die Bedeutung von effektiven Compliance-Strukturen in Unternehmen hat in den vergangenen Jahren stetig zugenommen. Vor diesem Hintergrund werden in diesem Kapitel mögliche Schritte auf dem Weg zu einem effektiven CMS dargestellt. Hierzu werden in einem Überblick insbesondere die nationalen und internationalen Vorgaben sowie die organisatorischen Grundlagen der Compliance erläutert. Im Anschluss daran erfolgt eine ausführliche Darstellung der Elemente, die bei der Umsetzung von Compliance-Strategien in der Praxis eine wesentliche Rolle einnehmen.

Anmerkungen

[1]

Vgl. nur Maume/Haffke ZIP 2016, 199, 201; Veljović CB 2019, 475, 477 f.

2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 1. Ziele

1. Ziele

42

Die primäre Funktion eines CMS ist es, Fehlverhalten im Unternehmen und aus dem Unternehmen heraus zu verhindern. Quasi als Reflex führt ein effektives CMS auch dazu, dass sich zum Beispiel die zuständigen Abteilungen auf die Qualität der Produkte und Dienstleistungen besinnen und diese kontinuierlich weiterentwickeln, um durch Qualität und Preis und nicht durch unlautere Praktiken im Markt zu bestehen. Auch eine positive Änderung der Unternehmenskultur ist spürbar, wenn ein wirksames Compliance Management System im Unternehmen implementiert ist.

43

Mit Blick auf die rechtlichen Risiken führt ein effektives CMS primär dazu, dass die Haftungsrisiken des Unternehmens, der Geschäftsleitung und auch der Mitarbeiter deutlich reduziert sind.

2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 2. Rechtsgrundlagen im deutschen Recht

2. Rechtsgrundlagen im deutschen Recht

44

In Deutschland werden seit jeher dogmatische Diskussionen darüber geführt, welche gesetzlichen Grundlagen bestehen, die deutsche Unternehmen verpflichten, ein CMS einzuführen. Sowohl im Gesellschaftsrecht, als auch im Straf- und Ordnungswidrigkeitenrecht, finden sich Rechtsgrundlagen für unterschiedliche Rechtsformen, Industrien oder Rechtsgebiete. Diese verpflichten die Unternehmen, im Rahmen des jeweiligen Anwendungsbereichs der Normen, ein Compliance Management System einzuführen. Beispielhaft seien die folgenden Vorschriften aufgelistet:

45

Auch der aktuelle Entwurf eines Verbandssanktionengesetzes enthält keine konkreten Vorgaben zu der Einführung und den Bestandteilen eines CMS. Da das Vorhandensein eines effektiven CMS aber nach diesem neuen Konzept dazu führen kann, dass eine Haftung des Unternehmens und der Geschäftsführung nicht eintritt oder das CMS jedenfalls bei der Zumessung der Sanktionshöhe einen positiven Effekt hat, besteht eine gewisse Obliegenheit, ein CMS einzuführen.[1]

46

Für die überwiegende Anzahl der Unternehmen, nämlich all diejenigen Unternehmen, die international tätig sind, ist die dogmatische Suche nach der richtigen Rechtsgrundlage in der Praxis irrelevant. In zahlreichen Ländern bestehen allgemeine Voraussetzungen, die ein CMS erfüllen muss. Gleiches gilt für bestimmte Industrien oder Rechtsgebiete. Operieren Unternehmen in diesen Märkten oder Industrien, müssen sie unausweichlich diese Vorgaben befolgen, um die Haftungsrisiken so gering wie möglich zu halten. Im nachfolgenden Abschnitt stellen wir einige dieser internationalen Regelungen und Vorgaben vor.

47

Aus der Gesamtschau der lokalen und internationalen Vorgaben folgt, dass Unternehmen ab einer gewissen Größe und internationalen Ausrichtung ihres Geschäfts verpflichtet sind, ein adäquates CMS zu implementieren.[2] Das CMS darf an die Umstände des jeweiligen Unternehmens angepasst sein. Der Umsatz, die internationale Ausbreitung, die Industrie, das Marktumfeld, die Kundenlandschaft oder der Umfang der Datennutzung sind relevante Faktoren, die eine Rolle dabei spielen, wie das Compliance Management System in den einzelnen Rechtsbereichen ausgestaltet sein sollte.[3]

Anmerkungen

[1]

Vgl. Behr/Guttenberger DB 2020, 1218, 1221.

[2]

Vgl. dazu auch LG München I (Neubürger) NZWiSt 2014, 183, 187.

[3]

Withus/Hein CCZ 2011, 125, 131.

2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems

3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems

48

International gibt es einige Standards, die Hilfestellungen dabei bieten können, wie ein CMS ausgestaltet sein sollte. ISO 19600 (künftig ISO 37301)[1] sowie der IDW PS 980 sind die bekanntesten Standards. Sie geben einen groben Rahmen vor, den das jeweilige Unternehmen für die unterschiedlichen Rechtsbereiche beachten muss.

49

Für einzelne Rechtsgebiete stehen darüber hinaus teils weitere internationale Standards und Vorgaben zur Verfügung. Auch wenn diese Standards möglicherweise keine rechtsverbindliche Wirkung entfalten, können sie dennoch hilfreich sein, den richtigen Maßstab für ein angemessenes CMS zu bestimmen.

50

Die aktuell relevantesten Rechtsgebiete, die im Fokus von CMS stehen, sind allgemein Anti-Korruption, das Kartellrecht, Geldwäsche, das Außenwirtschaftsrecht und Datenschutz. Die meisten CMS sehen zudem Regelungen zu Interessenkonflikten vor. Hierbei handelt es sich zwar nicht um ein eigenes Rechtsgebiet und häufig stellen Verstöße gegen die entsprechenden Vorgaben keine Verstöße gegen Gesetzesrecht dar. Dennoch ist der Umgang mit Interessenkonflikten ein wichtiger Gradmesser für die Compliance-Kultur in einem Unternehmen.

a) Internationale Standards zur Korruptionsbekämpfung

51

Besonders im Bereich der Korruptionsbekämpfung haben diverse Länder internationale Organisationsstandards veröffentlicht, die für Unternehmen hilfreiche Hinweise enthalten, wie ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.

aa) US Foreign Corrupt Practices, DOJ- und SEC-Vorgaben, sowie Sentencing Guidelines

52

Aus den Vorgaben rund um den US Foreign Corrupt Practices Act („FCPA“) können Unternehmen eine Vielzahl von wertvollen Vorgaben ableiten, wie ein CMS ausgestaltet sein sollte.[2] Zum einen enthalten die veröffentlichten Entscheidungen der US-Behörden zahlreiche Hinweise, welche Schwachstellen in CMS bestehen können und wie diese nach Vorstellung der US-Behörden geschlossen werden sollten. Zum anderen veröffentlichen die US-Behörden, allen voran das US Justizministerium („DOJ“), sowie die US Börsenaufsicht („SEC“), regelmäßig überarbeitete Stellungnahmen zu CMS. Zuletzt gab das DOJ am 1.6.2020 eine adaptierte Richtlinie zur Bewertung von Compliance-Programmen heraus, welche die Versionen aus den Jahren 2017 und 2019 ersetzt.[3] Die Leitlinie beinhaltet die Erwartungen und Standards, die US-amerikanische Staatsanwälte bei der Bewertung eines Compliance-Programms während einer Untersuchung anwenden. Nur ein Monat später wurde gemeinsam mit der SEC Anfang Juli 2020 auch der Leitfaden zum FCPA[4] neu herausgegeben.

53

Diese Vorgaben bieten aufgrund ihres Detailreichtums und ihrer Transparenz wichtige Hinweise, wie ein CMS zur Korruptionsbekämpfung ausgestaltet sein sollte. Zu berücksichtigen ist hier allerdings der Schwerpunkt des FCPA. Dieser ist primär darauf ausgerichtet, Bestechung von (aus US-Sicht) ausländischen Amtsträgern und damit zusammenhängende Buchhaltungsverstöße zu verhindern.[5] Für die Bestechung im geschäftlichen Verkehr sind die Hinweise nur indirekt anwendbar. Gleiches gilt für die Bestechlichkeit der eigenen Mitarbeiter.

54

Der FCPA enthält selbst keine Pflicht zur Einführung eines Hinweisgebersystems. Der FCPA Resource Guide 2020 vom DOJ und der SEC erachtet ein Hinweisgebersystem aber als einen wesentlichen Bestandteil eines CMS.[6]