Laut einer Studie der FH Graubünden aus dem Jahr 2019 sind fast 40 Prozent aller Unternehmen von unethischem und gesetzwidrigem Verhalten betroffen. Die Dunkelziffer dürfte weitaus höherliegen. Dies hat enorme wirtschaftliche Folgen: Korruption und Betrug kosten die Unternehmen im Schnitt 10.000 bis 100.000 Euro, vom Schaden für die Reputation ganz zu schweigen. Die Kosten für die Einführung eines Hinweisgebersystems amortisieren sich daher schnell.
Doch wie ist bei der Einführung vorzugehen?
Ich empfehle folgende Schritte:
1. Nehmen Sie die EU-Whistleblower-Richtlinie ernst.
Das Wichtigste zuerst: Nehmen Sie die EU-Whistleblower-Richtlinie ernst.
Ja, das hört sich trivial an. Doch im Unterschied zu Verordnungen wie der DSGVO vom 27. April 2016, die den Gebrauch personenbezogener Daten in einer Weise regelte, die von vielen europäischen Unternehmen ohnehin schon in breiten Teilen beachtet worden war, können Firmen die Vorgaben der EU-Whistleblower-Richtlinie nicht ohne Weiteres erfüllen. Das ist umso wichtiger, denn die Einführung eines Hinweisgebersystems ist seit 17. Dezember 2021 in Deutschland und den anderen Mitgliedstaaten rechtlich verpflichtend. Und zwar schon für Unternehmen mit 50 oder mehr Mitarbeitern und für Kommunen ab 10.000 Einwohnern.
Aber diese Pflicht ist aus zwei Gründen für Unternehmen keine Investition ohne Rendite:
- Sie können mit solchen Meldestellen im Falle von unethischem und kriminellem Verhalten von Mitarbeitern Reputationsschäden vermeiden. Denn mindestens 72 Prozent aller Hinweisgeber versuchen zunächst intern, die beobachteten Verstösse – sei es gegen Compliance-Regelungen oder Gesetze – anzusprechen. Erst, wenn Sie kein Gehör finden, wenden sie sich an die Behörden oder die Öffentlichkeit. Mit verheerenden Folgen für das Unternehmen. Eine offene Unternehmenskultur und ein funktionierendes Hinweisgebersystem sind also lohnende Investitionen.
- Eine Reihe von Studien belegt, dass eine ausgeprägte Hinweisgeberkultur den Unternehmen dabei hilft, langfristig finanziell erfolgreicher zu sein. Auf diese Weise amortisieren sich die Kosten, die mit der Einrichtung eines Hinweisgebersystems verbunden sind.
Aus diesen Gründen sollten Sie die Umsetzung des Hinweisgeberschutzgesetzes nicht als lästige Vorgabe betrachten, sondern als Chance, Ihr Unternehmen wirksam vor Reputationsschäden zu schützen und gegenüber Ihren Konkurrenten einen finanziellen Vorteil daraus zu ziehen.
2. Fördern Sie in Ihrem Unternehmen eine Kultur der Integrität.
Bekanntlich nützt es wenig, Strukturen und Prozesse vorzugeben, welche die Mitarbeiter nicht wirklich mittragen. Deshalb ist es für ein funktionierendes Hinweisgebersystem essenziell, dass das Top-Management hinter dem System steht und im Unternehmen eine offene „Kultur der Integrität“ etabliert und fördert. Dadurch werden gerade die integren Mitarbeiter, die schadhaftes Verhalten wie Betrug oder Missbrauch von Unternehmenseigentum als ein persönliches No-Go definieren, gestärkt.
Dazu sollten Sie eine Kultur etablieren, in der alle Arten von Grenzüberschreitungen, von zwischenmenschlichen Verfehlungen bis hin zu dolosen Handlungen, angstfrei gemeldet werden können. Dazu gehört, dass die Zuwiderhandlungen angemessen sanktioniert werden und Folgemassnahmen auslösen. So fördern Sie das Ziel eines Hinweisgebersystems, das die Hinweisgeber vor Repressalien schützt. Zudem wichtig: Etablieren Sie die Kultur, die für den Erfolg des Systems notwendig ist.
3. Setzen Sie ein digitales Hinweisgebersystem um.
Die EU-Whistleblower-Richtlinie sieht zwar drei Varianten ihrer Umsetzung vor, nämlich die Einrichtung
- eines Kanals, um Zuwiderhandlungen postalisch oder per E-Mail zu melden,
- einer telefonischen, für den Anrufer kostenlosen Hotline, oder
- der Möglichkeit, in Person mit einem Vertreter des Unternehmens zusammenzukommen.
Aber mit diesen Kanälen wird es paradoxerweise schwierig, die rechtliche Norm zu erfüllen. Das Grundproblem bleibt die fehlende Anonymität: Postalische Sendungen oder E-Mails sind leicht nachzuverfolgen, eine Telefon-Hotline garantiert keine Anonymität, und das Treffen kann mit einem hohen persönlichen Risiko verbunden sein.
Doch es bestehen noch mehr Probleme: Briefsendungen und E-Mails erschweren einen sicheren Austausch von Dokumenten, und Sprachkenntnisse können auf internationaler Ebene zum Problem werden. Eine Telefon-Hotline macht die Vorlage von Beweisen praktisch unmöglich, ist 24 Stunden am Tag nicht zu besetzen und möglicherweise ebenfalls sprachlich ein Problem. Ein anwaltlicher Ombudsmann ist international nicht vorhanden und terminlich eingebunden.
Das bedeutet: Nur ein digitales Hinweisgebersystem erfüllt mühelos und kostengünstig alle Vorgaben der EU-Richtlinie zur Datensicherheit und zum Schutz des Hinweisgebers zu 100 Prozent. Zugleich bietet es die Möglichkeit, mit dem Whistleblower in einen Dialog zu treten und gegebenenfalls Nachfragen zu stellen.
4. Definieren Sie Prozesse zur Bearbeitung von Hinweisen.
Die EU-Richtlinie sieht für das Meldesystem unter anderem vor, dass
- die meldende Person innerhalb von sieben Tagen eine Bestätigung über den Eingang des Hinweises erhält,
- sie binnen dreier Monate über den Status der Meldung informiert wird, und
- bei der Bearbeitung das Vier-Augen-Prinzip strikt eingehalten wird.
Auch deshalb sollten Sie die Prozesse zur Bearbeitung eingehender Hinweise schon definiert haben, bevor Sie mit der Implementierung des Hinweisgebersystems beginnen. Das beinhaltet mindestens Folgendes:
- Beschreibung der eigentliche Bearbeitungsschritte
- Definition von Zugriffsrechten und Eskalationsstufen
- Schulung der zuständigen Mitarbeiter im Umgang mit dem System
Als Teil der Prozessdefinition sollten Sie ausserdem unbedingt
- eine Meldestelle einrichten, die dem Unternehmen vorgelagert ist.
Denn die Einbeziehung einer externen und damit neutralen Meldestelle in die Bearbeitung von Hinweisen hat den Vorteil, dass das Unternehmen bei der Bewertung eingehender Meldungen und der sich daran anschliessenden juristischen Einschätzung und Aufstellung von Handlungsempfehlungen nicht direkt beteiligt ist. Auf diese Weise ist das Unternehmen gegen jeden Verdacht erhaben.
5. Beziehen Sie immer alle Stakeholder ein.
Bei der Implementierung eines Hinweisgeberschutzsystems sind erst einmal technische Hürden zu überwinden. Allerdings stellt sich auch die Management-Aufgabe, bei der Einführung alle Mitarbeiter der Organisation mitzunehmen und vom Nutzen des Systems zu überzeugen. Denn Sie sollten damit rechnen, dass einzelne Mitarbeiter oder Mitglieder des Betriebsrats einem Hinweisgebersystem mitunter skeptisch gegenüberstehen. Ist der Sinn des Systems, Whistleblower zu schützen oder dolose Handlungen und andere Grenzüberschreitungen aufdecken zu können, nicht völlig klar, fällt es leicht, es für eine Art von organisiertem Denunziantentum zu halten.
Um solchen Vorbehalten zu begegnen, sollten Sie daher zentrale Stakeholder frühzeitig einbeziehen. Dazu zählt nicht nur das Management beziehungsweise dessen erste und zweite Führungsebene, sondern auch die Arbeitnehmervertretung, der Datenschutzbeauftragte sowie strategisch wichtige Abteilungen wie HR oder IT.
Ein Instrument können unternehmensweite Workshops sein, in denen Mitarbeiter sich dafür sensibilisieren, dass Whistleblower keine Nestbeschmutzer sind, sondern dazu beitragen,
- dolose Handlungen und kriminelle Akte aufzudecken und
- ethisch-moralische Werte der Unternehmenskultur zu erhalten.
Beides betrifft den Fortbestand des Unternehmens und liegt somit im Eigeninteresse der Mitarbeiter.
6. Planen Sie die Implementierung in Tochterunternehmen und Auslandsgesellschaften.
Wenn Ihr Unternehmen eine komplexere Struktur hat, sollten Sie die Integration von Tochtergesellschaften von Anfang an planen – zumal sich bei einem digitalen Meldesystem jede 100-prozentige Tochtergesellschaft mit verhältnismässig wenig Aufwand integrieren lässt. Die Landessprachen sind zwar kein Hindernis. Denn jede Sprache ist in einem digitalen Hinweisgebersystem abbildbar. Doch grundsätzlich sollte der Schwerpunkt auf den wichtigsten Unternehmenssprachen und -standorten liegen.
Allerdings gilt auch hier, dass die Massnahmen, mit denen die Strukturen und Prozessen etabliert werden, nur Erfolg haben können, wenn sie von der Unternehmenskultur getragen werden. Deshalb sollten Sie wiederum darauf achten, die Führungskräfte sowie die wichtigsten Mitarbeiter für die Ziele des Hinweisgebersystems zu sensibilisieren. Das hat zudem den signifikanten Zusatznutzen, dass sich gerade in ausländischen Tochtergesellschaften, in deren Kulturkreis viele Zuwiderhandlungen als Kavaliersdelikte angesehen werden, sozusagen eine Kultur der Integrität etablieren lässt.
7. Kommunizieren Sie umfassend den Roll-out des Hinweisgebersystems.
Nach einem internen Test des Hinweisgebersystems und mit dem Eingang einer Testmeldung bei den designierten Bearbeitern steht einem offiziellen Roll-out nichts mehr im Wege. Der Roll-out sollte mit einer Informationskampagne begleitet werden, die zwei Ziele verfolgt: den Sinn des Hinweisgebersystems zu vermitteln und den Zugang zu platzieren.
Den Sinn vermitteln
Um den Sinn und Zweck des Hinweisgebersystems zu vermitteln, sollte der Zweck in einer prägnanten Botschaft deutlich werden und die wichtigsten Punkte zusammenfassen:
- Whistleblowing ist etwas grundsätzlich Positives
- Unethisches und kriminelles Verhalten sowie Verstösse gegen Compliance und Gesetze sanktioniert werden
- Whistleblowing dient dem Fortbestand des Unternehmens und liegt darum im Interesse der Arbeitnehmer
Um effektiv zu überzeugen, sollten nicht nur die Botschaften und Inhalte auf die Stakeholder abgestimmt sein, die bei der Planung einbezogen wurden. Vielmehr muss auch die Art und Weise der Kommunikation darauf abgestimmt sein. Letzteres beinhaltet vor allem eine zielgruppengerechte Anpassung. Hier sind kulturspezifische Kommunikationsweisen zu berücksichtigen. Das ist zumal bei Auslandsgesellschaften wichtig, und zwar umso mehr, je weiter der Kulturkreis der Tochtergesellschaft vom Sitz Ihres Unternehmens entfernt ist.
Den Zugang platzieren
Das andere Ziel der Informationskampagne besteht darin, den Zugang zum Meldesystem so bekannt und einfach wie möglich zu machen. Dabei sollten Sie darauf achten, dass potenzielle Whistleblower den Zugang leicht finden, vor allem, indem der Link an allen relevanten Stellen prominent platziert wird.
Dazu zählen unter anderem
- der Code of Conduct,
- das Intranet,
- die Unternehmens-Website und
- alle Zulieferer-Plattformen.
Darüber hinaus sollten Sie nicht nur digitale Kanäle bespielen, sondern zum Beispiel auch Aushänge an Orten nutzen, an denen sich oft viele Mitarbeiter aufhalten, wie etwa Kantinen, Pausenräumen, Umkleidemöglichkeiten, Freizeiteinrichtungen und dergleichen.
8. Unterziehen Sie das Hinweisgebersystem regelmässigen Audits.
Schliesslich sollten Sie das Hinweisgebersystem in das Qualitätsmanagement Ihres Unternehmens integrieren und regelmässige interne Audits durchführen, deren Resultate Sie zur Präzisierung der Regelungen und Folgemassnahmen, zur Schliessung von Prozesslücken sowie zur Optimierung der Abläufe nutzen können. Denn Sie können die Reputationsrisiken für Ihr Unternehmen nur dann auf ein Minimum reduzieren, wenn Ihr Hinweisgebersystem wie vorgesehen funktioniert. Schliesslich entfaltet das System seine abschreckende Wirkung erst dann, wenn Mitarbeiter oder Lieferanten, die in der Versuchung stehen, die Grenzen zu unethischem oder dolosen Handlungen zu überschreiten, damit rechnen müssen, entdeckt zu werden.
Zudem ist nur ein verlässlich implementiertes Whistleblowing-System ein Frühwarnsystem für drohende Reputationsschäden. Denn je leichter und vor Repressalien geschützter Meldungen abgegeben werden können, desto geringer ist die Wahrscheinlichkeit, dass Missstände nach aussen dringen. Dadurch leisten Meldekanäle einen wichtigen Beitrag zum Schutz vor Reputationsschäden sowie Strafzahlungen und andere Sanktionen vonseiten der Behörden.
Und sollten Sie doch einmal vom Fall der Fälle betroffen sein, wird dieser gewiss glimpflicher ablaufen als ohne Hinweisgebersystem.
