Im Blickpunkt: DICO Standard S11 zu Hinweisgebersystemen

Beitrag als PDF (Download)

Einleitung

Hinweisgebersysteme sind ein wichtiger Bestandteil eines wirksamen Compliance-Management-Systems. Dies belegen unter anderem die verschiedenen Rechtssetzungsinitiativen zu Hinweisgebersystemen. Auf europäischer Ebene wurde die EU-Richtlinie zum Hinweisgeberschutz (Richtlinie [EU] 2019/1937 des Europäischen Parlaments und des Rates vom 23.10.2019, Hinweisgeberrichtlinie), die in Deutschland bis Ende 2021 umgesetzt werden muss, bereits 2019 erlassen. Dem Vernehmen nach soll die Umsetzung durch ein „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz) zeitnah erfolgen. Vor diesem Hintergrund bietet der kürzlich vom Deutschen Institut für Compliance (DICO) veröffentlichte DICO Standard S11 – Hinweisgebersysteme praxisnahe Hilfestellungen und Anregungen für die Einrichtung eines Hinweisgebersystems. Eine Fortentwicklung des Standards ist geplant, sobald das nationale Hinweisgeberschutzgesetz vorliegt.

Bislang keine allgemeine Pflicht zur Einführung eines Hinweisgebersystems
Bislang besteht in Deutschland keine allgemeine Pflicht zur Einführung eines Hinweisgebersystems. Dies wird sich mit der Umsetzung der EU-Hinweisgeberrichtlinie ändern. Diese sieht vor, dass öffentliche Einrichtungen sowie Unternehmen ab einer Größe von 50 Arbeitnehmern Kanäle und Verfahren für interne Meldungen und Folgemaßnahmen implementieren sollen, die dem Schutz von Personen dienen, die Rechtsverstöße gegen Unionsrecht melden. Der Referentenentwurf zum Hinweisgeberschutzgesetz bezieht darüber hinaus bestimmte Verstöße gegen nationales Recht ein. Weitere Anforderungen an ein Hinweisgebersystem ergeben sich insbesondere aus arbeitsrechtlichen Vorgaben sowie Aspekten des Datenschutzes und der Datensicherheit. Für sogenannte regulierte Sektoren – unter anderem Kredit­institute, Kapitalverwaltungsgesellschaften und Versicherungs­gesellschaften – bestehen bereits jetzt spezialgesetzliche Regelungen zur Schaffung eines Hinweisgebersystems.

Der EGMR als Treiber – das Urteil Gawlik vs. Liechtenstein
Das jüngste Urteil des EGMR in der Sache Gawlik vs. Liechtenstein zum Thema Whistleblowing steht in einer Reihe von Urteilen des EGMR, die die Bedeutung von Hinweisgebersystemen unterstreichen (vgl. EGMR, Urteil vom 16.02.2021 – Gawlik vs. Liechtenstein – Nr. 23922/19, Rz. 81 ff.; EGMR, Urteil vom 21.10.2014 – Matúz vs. Ungarn – Nr. 73571/10, Rz.  34, 47; EGMR, Urteil vom 08.01.2013 – Bucur und Toma vs. Rumänien – Nr. 40238/02, Rz. 97). Nachdem ein angestellter Krankenhausarzt den Verdacht auf Euthanasievorfälle bei seinem Arbeitgeber extern kommuniziert hatte, wurde er fristlos entlassen. Statt das interne Hinweisgebersystem des Krankenhauses zu durchlaufen oder die Vorwürfe den verantwortlichen Gremien mitzuteilen, hatte er seine Vorwürfe direkt insbesondere gegenüber der Staatsanwaltschaft geäußert und damit große öffentliche Aufmerksamkeit erregt. In seinem Urteil bestätigte der EGMR, dass die Meinungsfreiheit einen Whistleblower grundsätzlich gegenüber seinem Arbeitgeber schützt. Eine Einschränkung der Meinungsfreiheit sei aber dann verhältnismäßig, wenn der Whistleblower den Weg an die Öffentlichkeit ohne nähere Prüfung seines offensichtlich unbegründeten Verdachts genommen habe. Dabei spiele es auch eine Rolle, ob der Whistleblower seinen Verdacht direkt gegenüber der Öffentlichkeit oder intern im Rahmen bestehender Strukturen und Kanäle geäußert habe, die für derartige Hinweise zuständig gewesen seien. Nicht zuletzt dieses Urteil unterstreicht, dass bereits jetzt die Existenz eines funktionierenden Hinweisgebersystems ein wesentlicher Gesichtspunkt dafür ist, ob mögliche Compliance-Verstöße extern offengelegt werden dürfen.

Das Hinweisgebersystem – ein integraler Bestandteil eines funktionierenden Compliance-Management-Systems
Hinweise von Unternehmensangehörigen oder externen Stakeholdern können einen wertvollen Beitrag zur Funktionsfähigkeit eines Compliance-Management-Systems leisten. Ziel eines Hinweisgebersystems ist es, einen sicheren, effektiven und vertrauenswürdigen Informationsweg für Hinweise auf mögliche Schwächen eines Compliance-Management-Systems sowie auf drohende oder eingetretene Compliance-Verstöße bereitzustellen. Ziel sollte dabei auch sein, „Rechtssicherheit für diejenigen [zu] schaffen, die verantwortlich handeln und Straftaten und Ordnungswidrigkeiten in Unternehmen und Behörden aufdecken“ (so die Bundesministerin der Justiz und für Verbraucherschutz Lambrecht am 19.01.2021 im Handelsblatt).

Der DICO Standard S11 – Hinweisgebersysteme im Überblick
Der DICO Standard S11 – Hinweisgebersysteme wendet sich an Compliance-Praktiker und beinhaltet allgemeine Empfehlungen zur Ausgestaltung eines Hinweisgebersystems. Der Standard soll einen Überblick über die relevanten Fragestellungen geben. Dabei berücksichtigt er Vorgaben deutscher Gesetze sowie einzelne Gesichtspunkte ausgewählter ausländischer und internationaler Rechtsquellen und Empfehlungen. Hierzu zählen insbesondere die Vorgaben der EU-Hinweisgeberrichtlinie, die ICC Guidelines on Whistleblowing (ICC Commission on Corporate Responsibility and Anti-Corruption), die OECD Anti-Bribery Convention sowie die United Nations Convention against Corruption (UNCAC).
Der DICO Standard S11 sieht vier Phasen vor – (1) Planung, (2) Implementierung, (3) fortlaufende Evaluation und (4) Verbesserung – und orientiert sich damit an dem sogenannten PDCA-Zyklus (Plan, Do, Check, Act).
In der Planungsphase soll ein Konzept für das Hinweisgebersystem erarbeitet werden, das insbesondere festlegt, welchen Anwendungsbereich das Hinweisgebersystem hat, welche Stelle für den Empfang der Hinweise zuständig ist, ob anonyme Hinweise erleichtert werden und in welcher Form Hinweise gemeldet werden können.
Im Rahmen der Implementierung sollen die allgemeinen Anforderungen an die Erreichbarkeit (unter anderem Sprache, Dialogfähigkeit) beachtet sowie der Schutz der Hinweisgeber sichergestellt werden. Dem Schutz der Whistleblower kommt nicht nur in der schwelenden Diskussion eine herausgehobene Bedeutung zu. Befürchten potentielle Hinweisgeber mögliche Repressalien oder Sanktionen, sei es durch arbeitsrechtliche Maßnahmen oder Auswirkungen auf die (externe) Geschäftsbeziehung, so werden sie von einem Hinweis auf mögliche Compliance-Verstöße absehen oder den wahrgenommenen Missstand extern oder öffentlich kommunizieren. Darüber hinaus sollen Mitarbeiter zur Nutzung des Hinweisgebersystems angehalten werden. Das Hinweisgebersystem soll als fester Bestandteil des Compliance-Management-Systems integriert und in das Kommunikationskonzept des Unternehmens eingebunden werden. Dabei müssen Hinweisgeber darauf vertrauen können, dass ihnen aus der Meldung keine Nachteile entstehen. Ein Hinweisgebersystem soll zudem von einem angemessenen Hinweismanagement begleitet werden, welches sicherstellt, dass eingehende Hinweise zeitnah sorgfältig geprüft und die notwendigen Folgemaßnahmen ergriffen werden.

Fazit
Hinweisgebersysteme sind ein integraler Bestandteil eines funktionierenden Compliance-Management-Systems. Ihre Bedeutung wird durch die Rechtsprechung des EGMR in der Sache Gawlik vs. Liechtenstein unterstrichen. Hinweisgebersysteme können dazu beitragen, dass potentielle Schwächen eines Compliance-Management-Systems offengelegt und mögliche Compliance-Verstöße verhindert oder aufgeklärt werden können. Gesetzliche Vorgaben zur Schaffung von Hinweisgebersystemen sind in den nächsten Monaten zu erwarten. Spätestens jetzt ist es daher geboten, ein Hinweisgebersystem zu implementieren. Der DICO Standard S11 –Hinweisgebersysteme bietet hierfür wertvolle Leitlinien und dient der Umsetzung der einschlägigen Best Practices.

fabian.quast@hengeler.com

Aktuelle Beiträge