Der neue Referentenentwurf zum Hinweisgeberschutzgesetz – Whistleblower-Hotlines werden bald Pflicht in Unternehmen
Ein Hinweisgebersystem ist ein inzwischen anerkannt notwendiger Bestandteil eines funktionierenden Compliance Management Systems.
Der Whistleblower hat eine beispiellose Karriere hinter sich: Vom Nestbeschmutzer, Denunzianten und Geschäftsgeheimnisverräter mutierte er binnen weniger Jahre zum edlen Ritter, der Skandale aufdeckt, seine Mitmenschen über Missstände aufklärt und letztlich zur Zentralfigur gegenwärtiger gesetzgeberischer Aktivitäten avancierte. Die Veröffentlichung von Missständen in US-Behörden führte jüngst noch zur Auslieferung von Julian Assange durch Großbritannien an die Vereinigten Staaten, die dem Wikileaks-Gründer bald den Prozess machen werden. In Europa genießt die Veröffentlichung von Unternehmensinterna demnächst hingegen flächendeckend gesetzlichen Schutz – wenn sie in den Anwendungsbereich der EU-Hinweisgeberschutzrichtlinie fällt (und der Hinweisgeber sich zunächst an das betroffene Unternehmen, hilfsweise an eine Behörde gewendet hat).
Die Richtlinie gilt mit wenigen Ausnahmen nicht unmittelbar, sie bedarf der Umsetzung in das Recht der einzelnen Mitgliedstaaten. Deutschland ist spät dran. Ein EU-Vertragsverletzungsverfahren läuft bereits. Über drei Monate nach Ablauf der Umsetzungsfrist hat das Bundesministerium der Justiz seinen Entwurf eines Hinweisgeberschutzgesetzes veröffentlicht. Es ist bereits der zweite, nachdem der erste Versuch dem Ende der vergangenen Legislaturperiode zum Opfer gefallen war.
Über allem steht das Ziel, Hinweisgeber und ihnen nahestehende Personen vor Repressalien infolge ihres Whistleblowings zu schützen. Entsprechende Regelungen enthält der Entwurf zur Genüge.
Hierfür wird Unternehmen mit 50 oder mehr Mitarbeitern – Praktikanten, Honorar- und Hilfskräfte, Minijobber und Bewerber sind mitzuzählen – einiges abverlangt: Die Einrichtung einer internen Meldestelle, die Eröffnung schriftlicher oder mündlicher Meldekanäle, die Gewährleistung der vertraulichen Behandlung der Daten aller Beteiligten und die Definition eines Folgemaßnahmenmanagements bedarf der Einbindung in die Unternehmensstruktur. Das Aufhängen eines Kummerkastens am schwarzen Brett reicht nicht mehr aus. Fristenmanagement ist nötig, will der Unternehmer Eingangsbestätigung, Rückmeldung an den Hinweisgeber und Datenlöschung für jede einzelne Meldung rechtzeitig bewerkstelligen. Wer auch noch dem Lieferkettensorgfaltspflichtengesetz unterfällt, muss Meldungen mit dem Hinweisgeber erörtern. Branchenspezifische Vorgaben enthalten etwa das Geldwäschegesetz oder das WpHG. Ressourcen braucht es auch für die Folgemaßnahmen. Immerhin sieht der Entwurf vor, die Aufgaben der Meldestelle und die Durchführung von Folgemaßnahmen auszulagern. Das ist gerade für mittlere Unternehmen ohne eigene Compliance- und Investigations-Abteilung attraktiv. Aber auch große Unternehmen profitieren davon, unabhängige Ombudspersonen oder Vertrauensanwälte zu installieren und sich nicht allein auf interne Stellen oder elektronische Briefkästen zu verlassen.
Der Entwurf wird für einige Stellen gelobt, in Bezug auf andere kritisiert. Gelobt wird er vor allem dort, wo er die Spielräume genutzt hat, die die EU ihm eingeräumt hat. Das sind nicht viele. Die wesentlichen Kautelen sind von der Richtlinie vorgegeben, Abweichungen kaum möglich. Eine Möglichkeit hat das Bundesjustizministerium genutzt: Gegen das Votum der Kommission, die für jede Gesellschaft eigene Meldekanäle fordert, lässt der deutsche Entwurf konzernweit ein einheitliches Meldesystem genügen. Dem wird zu Recht applaudiert, denn alles andere wäre Förmelei und hülfe weder Unternehmen noch Hinweisgebern. Spannend ist die Frage, wie sich Unterschiede in einzelnen europäischen Ländern in grenzüberschreitenden Konzernen auswirken. Will man eine interne Regelzersplitterung vermeiden, muss konzernweit das Recht des strengsten Staates gelten. Es ist zu prognostizieren, dass die Konzernfrage eines Tages dem Europäischen Gerichtshof vorliegt.
Wenig Beifall verdient die Verpflichtung von Unternehmen, den Hinweisgeber über die ergriffenen Folgemaßnahmen zu informieren. Es bedarf keiner großen Phantasie vorherzusehen, dass diese drei Monate nach Eingang der Meldung greifende Pflicht zu einer inhaltslosen Förmlichkeit verkommt. Im Zweifel werden Geheimhaltungsinteressen des Unternehmens, Datenschutz, gegebenenfalls auch Strafverfolgungsinteressen eine detaillierte Rückmeldung nicht zulassen.
Angemessen eingerichtet, sind Hinweisgebersysteme von Vorteil nicht nur für Hinweisgeber, sondern auch für die verpflichteten Unternehmen. Durch Whistleblowing erfährt es von Schmutzecken im eigenen Haus, die es sonst nicht selbst oder erst viel später entdeckt hätte. Ein Hinweisgebersystem ist ein inzwischen anerkannt notwendiger Bestandteil eines funktionierenden Compliance Management Systems. Geschäftsleiter müssen sich sämtliche zur Verfügung stehende Erkenntnisquellen erschließen, um ihren kaufmännischen und rechtlichen Sorgfalts- und Aufsichtspflichten nachzukommen. Wer Hinweise ignoriert oder gar sanktioniert, weil er von schlechten Nachrichten verschont bleiben will, verletzt diese Pflichten. Er handelt wider die Unternehmensinteressen. Er genügt ihnen nur, wenn er seine Belegschaft zur Preisgabe von Missständen oder Verdachtsmomenten motiviert, den Meldungen verantwortungsbewusst nachgeht, sie auf Glaubhaftigkeit und Substanz, auf Vollständigkeit und Schlüssigkeit prüft. Und angemessene Konsequenzen zieht. Das sollte für verantwortungsvolle Geschäftsführer kein Neuland sein. Und wer sein Hinweisgebersystem mit einem angemessenen “tone from the top” noch positiv konnotiert, macht alles richtig.
Dr. André-M. Szesny, LL.M., ist Rechtsanwalt und Partner der Wirtschaftskanzlei Heuking Kühn Lüer Wojtek. Er ist als Strafverteidiger in Wirtschaftsstrafsachen tätig und berät Unternehmen und Einzelpersonen in Fragen der Compliance und des Unternehmensstrafrechts.