Startups

Startups und Compliance – ein Muss von Anfang an

Startups und Compliance – ein Gegensatz? Auf keinen Fall! Gerade für junge Unternehmen und Gründer können sich durch konsequente Compliance von Anfang an Türen öffnen, die für andere verschlossen bleiben. Stichwort: Vertrauen schaffen bei (Risiko-) Kapitalgebern und Geschäftspartnern.

Insbesondere in Deutschland ist es für Start-ups in der Gründungs- und Wachstumsphase entscheidend, nicht nur eine überzeugende Geschäftsidee zu haben, sondern auch potenzielle Investoren davon zu überzeugen, dass ihr Geld sicher und rentabel angelegt ist. Deshalb sollte kein Unternehmen an den Start gehen, dass sich über das rechtliche Umfeld, in dem es sich bewegt, nicht richtig informiert und seine Organisation darauf ausgerichtet hat.

Investoren erwarten geeignetes Risikomanagement

Allerdings liegt auf dem Risikomanagement gerade in den ersten Jahren nicht unbedingt der Fokus eines expandierenden Unternehmens. Für Geldgeber aber ist es gerade bei kleineren Unternehmen mitunter ein absolutes K.O.-Kriterium, scheint das Management die möglichen Risiken seiner Organisation nicht ausreichend auf dem Schirm zu haben oder zu beherrschen. Essentiell ist das Bewusstsein über geltende relevante Vorschriften und Gesetze – sowohl national als auch international – für jedes Unternehmen unabhängig von der Größe. Denn das Strafrecht unterscheidet in seinem Strafmaß bei Delikten nicht danach, wie groß eine Organisation ist. Die Bandbreite der Vorschriften hingegen ist enorm: vom Steuerrecht über Rechnungslegungs- und Bilanzierungsvorschriften, Regelungen zum Arbeits- und Umweltschutz bis hin zur Frage, ab wann Aufmerksamkeiten der Vertriebsmitarbeiter für Kunden den Tatbestand der Korruption erfüllen.

Strafrecht kennt keine Haftungsbeschränkung

Verstoßen junge Unternehmen gegen geltendes Recht, kann das gravierende Folgen haben: Oftmals starten Firmen mit einer Rechtsform, in der die Eigentümer persönlich mit ihrem gesamten Vermögen haften. In diesem Fall ist Non-Compliance für Unternehmen und Gründer schlichtweg existenzbedrohend. Dazu kommt, dass Sanktionen für strafrechtliche Vergehen, für die ein Gründer gerade stehen muss, nicht durch eine Haftungsbeschränkung reduziert werden können.

Wie für große und etablierte Organisationen auch, geht mit der Aufdeckung nicht rechtskonformen Verhaltens überdies ein erheblicher Vertrauens- und Imageverlust einher. Gerade für Start-ups ist dieses aber noch weitaus entscheidender für das weitere Wachstum als bei etablierten Marktteilnehmern. Herwig Felber und Manuel Konold schreiben in der Zeitschrift „Compliance-Berater“ dazu: „Das Festlegen von Regeln für das tägliche Geschäftsgebaren und betriebliche Abläufe oder Sicherheit bei der Rechtsform, Markenrechten und regulatorischen Vorgaben können bereits in einer frühen Phase des Lebenszyklus eines Unternehmens angedacht und etabliert werden.“ (Ausgabe 10/2018 vom 4.10.2018, S. 414). Bereits die Tatsache, dass ein Start-up diese Überlegungen anstelle und somit auch dem Thema Compliance einen entsprechenden Stellenwert gebe, schaffe Vertrauen bei internen und externen Stakeholdern.

Rechtskataster als Grundlage jedes Compliance Management Systems

Stellt sich also die Frage, wie junge Unternehmen von Anfang an ein funktionierendes Compliance Management System aufbauen können. Das ist eine Herausforderung: Für jedes Unternehmen gibt es in Deutschland rund 200 Regelwerke, die es unabhängig von seiner Größe berücksichtigen muss, will es rechtskonform aufgestellt sein. Die Compliance-Strukturen müssen trotzdem die umfassende Regelkenntnis und -befolgung in Unternehmen gewährleisten, Mitarbeiter vor Fehlverhalten und Unfällen bewahren, Führungskräften dabei helfen, Organisationsverschulden zu vermeiden.

Das setzt voraus, dass ein umfassendes Rechtskataster installiert ist. Es erfasst die Gesetze und Vorschriften in ausnahmslos allen Unternehmensbereichen und Sachgebieten. Sollte das Start-up sowohl national als auch international tätig sein, muss das Rechtskataster um die jeweiligen länderspezifischen Regelungen ergänzt werden. Voraussetzung für ein funktionierendes Rechts- oder Gesetzeskataster ist größtmögliche Aktualität. Deshalb empfiehlt es sich, gerade am Anfang, wenn die personellen Ressourcen in einem jungen Unternehmen noch nicht zur Verfügung stehen, auf externe Partner zur kontinuierlichen Pflege des Rechtskatasters zu vertrauen.

Rechtskataster

Rechtskataster – Grundlage gesetzeskonformen Handelns

Compliance im Sinne von Rechtskonformität und Rechtssicherheit lässt sich in einem Unternehmen nur sicherstellen, wenn auf der einen Seite alle relevanten und aktuellen Verordnungen und Rechtsnormen bekannt sind. Auf der anderen Seite sollte ein umfassendes Rechtskataster installiert sein, das eben diese Vorschriften und Gesetze abbildet. Ist ein Unternehmen sowohl national als auch international tätig sein, muss das Rechtskataster um die jeweiligen länderspezifischen Regelungen ergänzt werden. Voraussetzung für die Wirksamkeit dieses Rechts- oder Gesetzeskataster – darauf sei noch einmal ausdrücklich hingewiesen – ist größtmögliche Aktualität.

Rechtskataster zählt vermehrt zur Organisationspflicht

Auch, wenn ein Rechtskataster generell nicht verpflichtend ist: In manchen Unternehmen gehört es dennoch zur Organisationspflicht, um das Unternehmensrisiko zu mindern. Managementsysteme wie das Sicherheits- und Gesundheitsmanagementsystem DIN EN ISO 45001 verlangen beispielsweise die Dokumentation, dass alle relevanten Bestimmungen, rechtlichen Verpflichtungen und sonstigen Anforderungen erkannt und erfüllt werden. Dazu zählt unter anderem die Bestimmung gesetzlicher Vorschriften und sonstiger Anforderungen.

Unabhängig von dem speziellen Thema der DIN EN ISO 45001 setzt eine ordentliche Geschäftsführung voraus, dass die entsprechenden Gesetze und Vorschriften bekannt sind. Die IHK Hochrhein-Bodensee nennt in einem Leitfaden ein Beispiel aus dem Umweltrecht: „ Dort ist es eine zentrale Aufgabe

  • dafür zu sorgen, dass der Betrieb über alle erforderlichen behördlichen Genehmigungen verfügt,
  • dass bestehende Genehmigungen den betrieblichen Veränderungen angepasst werden, wenn der Betrieb ausgeweitet oder die Produktionsweise verändert wurde. (Sind Verfahren von der Genehmigung nicht gedeckt, so kommt § 327 StGB zur Anwendung).

Wird die Organisationspflicht verletzt, so haftet der zuständige Geschäftsführer/Vorstand neben dem jeweiligen Mitarbeiter, der den Schaden unmittelbar verursacht hat (sog. Organisationsverschulden). Die geschilderten Grundsätze gelten auch beim Outsourcing bestimmter Aufgaben an unternehmensfremde Dritte. Alleine durch die Vergabe einer Tätigkeit an einen Externen (Fremdfirma), entfällt keineswegs automatisch und in jedem Fall die Haftung (Bsp.: Verkehrssicherungspflicht) des Unternehmens (Auftraggeber).“

Rechtskataster als Basis unternehmerischer Compliance-Strukturen

Die Compliance-Strukturen in einem Unternehmen sollen die Regelkenntnis und -befolgung sicherstellen, Mitarbeiter vor Fehlverhalten und Unfällen bewahren und Führungskräften dabei helfen, Organisationsverschulden zu vermeiden. Das funktioniert nur mit einem von Beginn an ganzheitlich und individuell auf ein Unternehmen zugeschnittenen Compliance Management System, das den Mitarbeitern ohne großen Zusatzaufwand Transparenz und Klarheit bei der Regelkenntnis bietet. So können Sie ihre Tätigkeiten regelkonform verrichtet.

Ein Rechtskataster dient dabei dazu, Gesetze und Vorschriften in ausnahmslos allen Unternehmensbereichen und Sachgebieten einer Organisation zu erfassen. Seine Grundlage ist das Wissen darüber, ob ein Unternehmen von bestimmten Gesetzen und Rechtsvorschriften betroffen ist.

Rechtskataster – in Eigenregie oder mit Dienstleister?

Alle Regularien durchgängig im Blick zu behalten, kann je nach Organisationsform und -umfang schwierig sein: Neue kommen hinzu, alte ändern sich in regelmäßigen Abständen. Unternehmen stehen deshalb vor der Entscheidung, intern umfangreiche Kenntnisse und Ressourcen zur Pflege des Rechtskatasters aufzubauen oder einen externen Dienstleister zu beauftragen. Egal, wie sich die Organisation entscheidet, Voraussetzung ist eine exakte Analyse der betrieblichen Situation, die Erstellung eines aktuellen Rechtskataster und seine dauerhaft, rechtskonforme Pflege.

Stellenwert der Compliance

Stellenwert der Compliance im Unternehmen nimmt weiter zu

Sind es die verschärften gesetzlichen Auflagen oder ein rein wirtschaftlich-monetärer Aspekt? Der Stellenwert der Compliance nimmt weiter zu – wenn auch der Antrieb oftmals noch von der Korruptionsbekämpfung im Unternehmen ausgeht.

Compliance – mehr als Korruptionsbekämpfung

Wir verstehen Compliance als die Einhaltung sämtlicher Gesetze, Regeln und Vorschriften, die für ein Unternehmen aufgrund seiner Tätigkeit relevant sind, und zwar national wie international. Korruption oder Bestechung sind dabei nur ein Aspekt, allerdings nach wie vor der mit der stärksten Öffentlichkeitswirkung, wenn er bekannt wird.

Ein wesentlicher Antrieb, die Compliance-Maßnahmen im Unternehmen zu verstärken, liegt daher immer noch in der Korruptionsbekämpfung, um Imageverluste bei Geschäftspartnern und Kunden zu vermeiden. Denn: Die Zusammenarbeit mit nicht nur wirtschaftlich, sondern auch ethisch einwandfrei auf- und eingestellten Firmen ist mittlerweile zum Wert an sich geworden.

Compliance als Wettbewerbsfaktor

Unternehmen, die gesetzeskonform handeln und sich an die regulatorischen Auflagen im Rahmen ihrer Tätigkeit halten, steigern ihre Reputation am Markt, werden als vertrauenswürdig wahrgenommen. Dementsprechend gehört es zu den wichtigsten Zielen vieler Compliance-Beauftragter, das Thema nachhaltig auf allen Ebenen in ein Unternehmen hineinzutragen und die notwendige Compliance-Kultur zur fördern.

Dieser Veränderungsprozess hin zur durchgängigen Gesetzeskonformität hat zugleich unmittelbaren Einfluss auf den wirtschaftlichen Erfolg – ein entscheidender Grund, warum das Thema Compliance mittlerweile in vielen Vorstands- und Geschäftsführungsetagen angekommen ist.

Volkswagen ist ein Beispiel dafür, dass Compliance zunehmend höchste Aufmerksamkeit genießt: Nach dem Bekanntwerden des Dieselskandals wurde 2016 das Ressort „Recht und Integrität“ auf oberster Führungsebene installiert. Seit 2017 hat Airbus mit Sylvie Kandé de Beaupuy einen Chief Compliance Officer im Vorstand.

Stellenwert der Compliance steigt auch durch Gesetzesänderungen

Doch weder der ethische noch der wirtschaftlichen Aspekt allein stärken den Stellenwert der Compliance in Unternehmen. Hinzu kommt vor allem die veränderte Gesetzeslage auf den internationalen Märkten, die viele Firmen zum Handeln zwingt. Wer nicht zahlen will (mit allen negativen finanziellen Aspekten plus Imageverlust), hält sich an die rechtlichen Bestimmungen. In diesem Sommer ist beispielsweise die fünfte EU-Geldwäscherichtlinie in Kraft getreten, die  Geldwäsche und Terrorismusfinanzierung vorbeugen soll. Sie sieht eine höhere Sorgfaltspflichte bei Geschäftspartnern in Hochrisiko-Drittländern vor, außerdem mehr Transparenz über die wirtschaftlichen Eigentümer eines Unternehmens.

Bei den gesetzlichen Veränderungen ist außerdem zu denken an die deutsche ISO19600, an den amerikanischen „Foreign Corrupt Practices Act“ oder an den UK Bribery Act: In den USA und in Großbritannien machen sich Unternehmen strafbar, wenn sie nicht durch ihre internen Strukturen Korruption bekämpfen oder verhindern. Damit steht die Wirksamkeit der unternehmerischen Compliance-Management-Systeme auf dem Prüfstand.

 

 

DSGVO

Mehr als 100 Tage DSGVO: Was hat sich getan?

Vier Monate ist es her, dass am 25. Mai 2018 die europäische Datenschutz Grundverordnung DSGVO in Kraft getreten ist. Das Beben, das mit der Umsetzung durch Unternehmen jeder Größenordnung bis hin zu Vereinen ging, ist noch nicht abgeebbt.

DSGVO – Schutz vor dem Missbrauch persönlicher Daten

Vom Grundgedanken her mag die DSGVO in Zeiten der Digitalisierung bis in die tiefste Privatsphäre hinein sinnvoll sein: „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“, heißt es in Artikel 1 der Datenschutz Grundverordnung. So weit so gut. Schützen wollte das Europäische Parlament die Menschen vor allem vor den Datenkraken der Internetkonzerne, die personenbezogene Daten zu wirtschaftlichen Zwecken in großen Umfang verarbeiten und nutzen. Doch getroffen hat das Regelwerk auch Kleinstunternehmen, Handwerksbetriebe, gemeinnützige Vereine, Mittelständler, für die die Umsetzung oftmals mit unverhältnismäßigem Aufwand verbunden war und nach wie vor ist.

Und die verunsichert sind, was sie tun müssen oder dürfen, um noch datenschutzkonform zu agieren, um Abmahnungen und Strafzahlungen zu entgehen. So sind zahlreiche Unternehmen bis heute nicht datenschutzkonform aufgestellt. Ihnen fehlen die entsprechenden Datenschutzkonzepte, von der praktischen Umsetzung ganz zu schweigen. Die Zahl der Unternehmens- und Vereinswebsites, die wegen der gestiegenen Anforderungen aus der DSGVO sicherheitshalber vom Netz genommen wurden, ist in den letzten Monaten deutlich in die Höhe gegangen. Bosch hatte beispielsweise für seine Online-Handwerker-Community zwischenzeitlich die Reißleine gezogen. Amerikanische Zeitungen wie die Chicago Tribune sperren europäische Leser aus ihrem Online-Angebot ganz aus, weil sie die DSGVO nicht umsetzen können oder wollen.

Rechtssicherheit für Unternehmen aller Größenordnungen

Bereits kurz nach Inkrafttreten der Verordnung wurde die Forderung laut, höhere Rechtssicherheit zu schaffen. Unklar ist unter anderem immer noch, ob Verstöße gegen den Datenschutz überhaupt abmahnfähig sind. Ist Datenschutz ein Wettbewerbsfaktor? Entstehen Wettbewerbern Nachteile durch fehlenden Datenschutz des Konkurrenten? Diese Fragen haben bislang weder der  Gesetzgeber noch die Gerichte geklärt. Im „Handelsblatt“ hat Bundesjustizministerin Katarina Barley (SPD) bereits im Juni angekündigt, gegen missbräuchliche Abmahnungen vorzugehen. „Wir werden professionellen Abmahnern das Wasser abgraben. Dafür brauchen wir eine umfassende Lösung. Gerade kleine Unternehmen und Selbständige, aber auch Vereine und Privatpersonen, brauchen einen wirksamen Schutz vor dem Treiben von professionellen Abmahnern.“ (Handelsblatt vom 13.6.2018)

Abmahnwelle ausgeblieben

Möglicherweise auch aufgrund der rechtlichen Unklarheit hat eine Abmahnwelle bislang nicht im prognostizierten Umfang stattgefunden. „Viele der um den 25. Mai in der Öffentlichkeit kursierenden Fehlinformationen zur DSGVO haben zu unnötiger Unsicherheit geführt. Es wurde eine Abmahnwelle befürchtet oder die massenweise Verhängung von Geldbußen durch die Aufsichtsbehörden. Solche Szenarien sind ausgeblieben“, verkündete Anfang September Andrea Voßhoff, Bundesbeauftragte für den Datenschutz. Die Datenschutzbehörden hatten darüber hinaus angekündigt, mit der Verhängung von Bußgeldern zunächst zurückhaltend umzugehen, vielmehr Beratung und Ermahnung in den Vordergrund zu stellen.

Bürger nutzen Rechte aus DSGVO verstärkt

Was nach dem 25. Mai 2018 laut Andrea Voßhoff deutlich zugenommen hat, sind indes die Anfragen und Beschwerden der Menschen bei den Behörden: „Bürgerinnen und Bürger nehmen ihre neuen Rechte nach der DSGVO verstärkt wahr. Dies ist auch anhand der signifikant gestiegenen Eingänge bei den Aufsichtsbehörden erkennbar. So erreichten mein Haus seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 allgemeine Anfragen. Auch die in meinen Zuständigkeitsbereich fallenden Institutionen nehmen ihre Pflichten ernst, meldeten im vorgenannten Zeitraum 4.254 potentielle Datenschutzverstöße und baten darüber hinaus um Beratung. Mit bisher 262 europaweit anhängigen Fällen haben die europäischen Datenschutzaufsichtsbehörden ihre gemeinsame koordinierende Tätigkeit aufgenommen. Diese Entwicklung ist zu begrüßen, denn sie zeigt: Die DSGVO lernt Laufen“, schreibt Voßhoff in einer Pressemitteilung vom 4. September.

Bundesjustizministerin will „Kleine“ schützen

Ende August hat Bundesjustizministerin Katarina Barley (SPD) in der Tagesschau übrigens angekündigt,  dass „kleine Unternehmen, Vereine und Selbstständige […] nach den Plänen bei kleineren Verstößen gegen die DSGVO von kostenpflichtigen Abmahnungen ausgenommen werden.“ Ein entsprechender Gesetzentwurf sollte bis Anfang September 2018 vorliegen.

Trotz dieser Anpassungen der DSGVO bleibt es Aufgabe und Pflicht aller Organisationen – vom gemeinnützigen Verein über den Einzelunternehmer und Handwerker bis zum Großkonzern – die Anforderungen der Vorschrift umzusetzen. Denn sie räumt den Menschen umfassende Rechte ein, denen Unternehmen und Vereine gerecht werden müssen. Dazu gehört das Recht auf Auskunft, welche personenbezogenen Daten erhoben werden, das Recht auf Korrektur falscher oder lückenhafter Daten, das Recht auf Datenlöschung und das Recht auf Datenübertragung. Um diesen Anforderungen zu genügen, sollten Unternehmen und Vereine jeder Größenordnung ein Datenschutzkonzept entwickeln und kurz- bis mittelfristig umsetzen.

Risikoanalyse

Risikoanalyse im Compliance Management

Risikoanalyse im Compliance Management ist eine zentrale Aufgabe für jeden Compliance Beauftragen im Unternehmen. Die ISO 19600 als Compliance-Standard basiert sogar zu einem ganz wesentlichen Teil auf der Bewertung der Compliance-Risiken. Wie gehen Unternehmen dabei vor?

Risikoanalyse – Grundlage jedes Compliance Management Systems

Bei der Analyse und Bewertung der Risiken, die sich aus der Compliance oder Non-Compliance einer Organisation ergeben, geht es im Wesentlichen darum, sämtliche relevanten Gesetze, Vorschriften und Normen national und gegebenenfalls auch international zu identifizieren und in ihrer Bedeutung für das Unternehmen zu bewerten. Dabei geht es nicht nur um eine einmalige Feststellung der Gesetzeslage. „Die Organisation muss in regelmäßigen Abständen ihre Compliance-Risiken und –Verpflichtungen ermitteln, aktualisieren und neu bewerten oder bei folgenden Ereignissen eine Neubewertung vornehmen:

  • bei neuen oder geänderten anzuwendenden Gesetzen, Geschäftsaktivitäten, Produkten, Aufgaben oder Dienstleistungen,
  • bei einer geänderten Organisations- bzw. Unternehmensstruktur oder Unternehmensstrategie,
  • bei beträchtlichen äußeren Änderungen wie finanziellen, wirtschaftlichen Umständen, Haftungsänderungen und Kundenbeziehungen,
  • bei Änderungen von Compliance-Verpflichtungen und –Verstößen.“ (Quelle: Standard für Compliance-Management-Systeme – TR CMS 101:2015 des TÜV Rheinland, Köln)

Im besten Fall verfügt die Organisation deshalb über ein maßgeschneidertes Rechtskataster, das sämtliche relevanten Rechtsgebiete permanent beobachtet und Veränderungen auf ihre Bedeutung für das Unternehmen hin untersucht. Dieses Rechtskataster ist der Kern eines funktionierenden Compliance Management Systems, von dem alle weiteren Maßnahmen ausgehen.

Wie lassen sich Compliance-Risiken ermitteln?

Ein einzelner Compliance Manager oder selbst eine damit betraute Abteilung ist möglicherweise nicht in der Lage, die Risiken, gegen Compliance zu verstoßen, über alle Geschäftsbereiche und über alle Hierarchieebenen hinweg zu beurteilen. Sinnvoll scheint es daher zu sein, eine möglichst breite Basis zu schaffen – mit Beteiligten aus den verschiedenen Tätigkeitsfeldern und aus unterschiedlichen Managementfunktionen. Damit wird die Voraussetzung geschaffen, das Thema Compliance und potenzielle Risiken aus möglichst vielen Perspektiven zu betrachten und zu beurteilen.

Wir empfehlen, zu diesem Zweck die Beteiligten zumindest am Anfang oder in regelmäßigen Abständen für kurze Zeit aus ihrem Tagesgeschäft herauszuholen und beispielsweise in Arbeitstreffen konzentriert an das Thema heranzugehen. Strukturiert lassen sich die Compliance-Risiken beispielsweise pro Geschäfts- oder Produktbereich aufdecken. Ist die initiale Risikoanalyse erfolgt, bietet es sich an, über strukturierte Informations- und Kommunikationsprozesse den Austausch zwischen Compliance Beauftragtem und Geschäftsbereichen permanent aufrecht zu erhalten.

Bewertung der Compliance-Risiken

Die Risiken zu erkennen, ist der erste wichtige Schritt. Um ressourcenschonend zu arbeiten, ist es aber entscheidend zu beurteilen, wie groß die einzelnen Risiken für ein Unternehmen sind. Alle „Gefahrenherde“ für die  Compliance auf einmal ausschalten zu wollen, ist kaum praktikabel. Empfehlenswert ist deshalb die Entwicklung einer sogenannten „Compliance-Risikolandkarte“.

Ein Risiko einschätzen lässt sich an Kriterien wie der Wahrscheinlichkeit, dass ein Schaden eintritt und der möglichen Höhe eines Schadens bei Verstoßes gegen die Rechtskonformität. Führen Sie diese Kriterien zusammen, erhalten Sie einen Überblick, welche Schäden im negativen Fall mit hoher Wahrscheinlichkeit eintreten und dabei hohe Schäden verursachen. Oder im umgekehrten Fall kaum vorkommen werden und auch vernachlässigbare Folgen haben. Tragen Sie diese Bewertungen zusammen, erhalten Sie eine Risikolandkarte, mit der sich die Risiken und die daraus resultierenden Maßnahmen priorisieren lassen.

Was sind mögliche Schäden?

Mögliche Schäden durch Compliance-Verstöße sind nicht nur finanzieller Art, beispielsweise durch Strafzahlungen. Auch ein Imageverlust wirkt sich massiv negativ auf den Unternehmenserfolg aus, wenn Geschäftspartner die Zusammenarbeit beenden. Wichtig ist daher die qualitative Betrachtung und Bewertung der Compliance-Risiken. Das setzt voraus, dass die beteiligten Mitarbeiter und Führungskräfte in der Lage sind, Risiken hinsichtlich ihrer möglichen Schadenshöhe richtig einzuschätzen. Die Bild der Risikolandkarte kann sich schon dadurch entscheidend verändern, dass Risiken aus Compliance-Verstößen tendenziell eher zu gering bewertet werden.

Ist die Risikobewertung abgeschlossen, ist sie die Basis für die Entwicklung eines Maßnahmenkatalogs: Wie gehen Sie in Ihrem Unternehmen gegen Compliance-Risiken vor? Beseitigen, verringern, zunächst wegen geringer Relevanz zunächst zurückstellen? Diese Entscheidung ist ein zentrales Element der Unternehmensführung und -steuerung, die sowohl von Geschäftsführung und Vorstand als auch vom Aufsichtsrat wahrgenommen werden muss.

Compliance Quick Check

Compliance Quick Check: Wie reif ist Ihr Unternehmen?

Wie steht es in Ihrem Unternehmen um die Compliance? Sind sie in allen Berei­chen rechtskonform aufgestellt? Um eine seriöse Einschätzung zu erhalten, bietet SAT den Compliance Quick Check – schnell und zu überschaubaren Kosten.

Compliance Quick Check untersucht Compliance-Reife

Ziel des Compliance Quick Check  ist es, die Compliance-Reife eines Unterneh­mens in den wesentlichen Punkten zu bewerten. Er geht einem organisationswei­ten Compliance-Audit voraus, anhand dessen später detaillierte Aussagen zur Rechtskonformität getroffen werden können.

Folgende Punkte prüft der Quick-Check:

  • Compliance-Verständnis
  • Compliance-Ziele
  • Compliance-Prozess
  • Compliance-Verantwortung
  • Compliance-Bewusstsein
  • Compliance-Anforderungen
  • Compliance-Aktualität
  • Compliance-Konformität
  • Compliance-Überwachung
  • Compliance-Ereignis

In Gesprächen mit Führungskräften und Mitarbeitern in verschiedenen Unter­nehmensbereichen geht es um die realistische Einschätzung, wie tief das Thema Compliance in der Organisation verankert ist. Hier einige Beispielfragen:

  1. Was verstehen Sie unter „Compliance“?

Ziel der Frage:

Ist eine einheitliche Begriffsdefinition im Unternehmen vorhanden bzw. ist das Thema überhaupt bekannt?

Mindestanforderungen, damit ein Unternehmen als compliant gelten kann:

  • Aussage: jederzeit gesetzes- und regelkonform sein
  • Konformität hinsichtlich:
    • Gesetze:
      EU, Bund, Länder, Kommune
    • Regeln:
      unternehmensintern (Arbeitsanweisungen, Org.-Anweisungen); Technische Regelwerke (TRBS, TRBA, BG, …); technische Normen (DIN, VDI, VDE,…)

Welche Dokumente/Nachweise geht der/die Befragte zum Thema Compliance?

  • Grundsatzerklärung, Ethikrichtlinie, usw.

Anhand dieser Aussagen bewerten die Prüfer im Compliance Quick Check, ob es bei den Befragten ein grundsätzliches Verständnis von Compliance gibt. Daraus leiten wir entsprechende Maßnahmen und Empfehlungen.

Ebenso gehen wir beispielsweise bei der Frage zu den Compliance-Zielen vor:

  1. Existieren für das Unternehmen/Ihren Bereich Compliance-Ziele?

Ziel der Frage:

  • Wie systematisch wird das Thema Compliance im Unternehmen behandelt?
  • Ist der systematische Umgang mit dem Thema Compliance im Unterneh­men sichergestellt?

Mindestanforderungen, um von vorhandenen Compliance-Zielen sprechen zu können:

  • Es existieren formulierte und messbare Ziele.
  • Ziele sind bekannt und abrufbar.
  • Ziel sind bestenfalls in Zielvereinbarungen verankert

Es gibt Dokumente/Nachweise über die Compliance-Ziele:

  • freigegebene Compliance-Ziele
  • Zielvereinbarungen
  • Befragung von Mitarbeitern

Der Fragenkatalog erstreckt sich schließlich bis hin zur Compliance-Kon­formität, zu der die Mitarbeiter sich äußern sollen.

  1. Wie stellen Sie die Beachtung der Compliance-Anforderungen sicher?

Ziel der Frage:

  • Werden Compliance-Anforderungen termingerecht umgesetzt?

Mindestanforderungen, um von der Beachtung der Compliance-Anforderungen sprechen zu können:

  • Ableitungen von Maßnahmen aus Anforderungen
  • Festlegung von Zuständigkeiten und Terminen
  • Bereitstellung von Budget zur Erfüllung der Anforderungen

Als Dokumente oder Nachweise, dass die Compliance-Anforderungen be­achtet werden, gilt hier ein Maßnahmenplan mit Zuständigkeiten und Ter­minen.

Durch die unterschiedlichen Themenkomplexe rund um die Compliance ergibt sich im Gespräch mit den Mitarbeitern und Führungskräften ein aussagekräftiges Gesamtbild. Anhand dessen können wir beurteilen, ob Ihr Unternehmen die notwendige Compliance-Reife erreicht. Sollte das nicht so sein, geben wir Empfehlungen zu weiterführenden Maßnahmen ab, damit sie das rechtskonforme Handeln in Ihrer Organisation sicherstellen können.

Vorteil des Compliance Quick Check

Eine realistische Einschätzung zur Rechtskonformität in ihrem Unternehmen zu erhalten, verbinden viele Verantwortliche mit einem enormen zeitlichen und kos­tenintensiven Aufwand. Und obwohl ein funktionierendes Compliance Manage­ment System finanzielle und juristische Risiken durch mangelhafte Rechtskonfor­mität erheblich reduziert, fürchten insbesondere mittelständische Unternehmen oftmals den vermeintlichen Aufwand der Überprüfung und verzichten zuweilen ganz darauf. Das aber ist nicht nur aus Haftungsgründen äußerst riskant, sondern auch wegen des drohenden Imageverlustes bei den Geschäftspartnern, sollte eine Organisation nicht rechtskonform arbeiten.

Mit dem SAT Compliance Quick Check lösen wir dieses Problem: Wir bieten ihn zum Festpreis an. So können Sie sich zunächst einen Einblick über die Compliance-Situation in Ihrem Unternehmen machen, bevor Sie – falls notwendig – einen umfangreicheren Auftrag vergeben.

Compliance-Kontrolle

Compliance-Kontrolle: Compliance einführen und umsetzen

Ein Compliance-System im Unternehmen einführen ist ein dauerhafter Prozess. Denn nach der Implementierung kommt die Compliance-Kontrolle, die sicherstellen soll, dass die Gesetzeskonformität in allen Geschäftsbereichen von Dauer ist. Wie gehen Sie vor, was gehört dazu?

Einführung eines Compliance-Systems in fünf Schritten

In fünf Schritten führen Sie ein strukturiertes Compliance-System in Ihrem Unternehmen ein.

  1. Quick-Check: Überblick über die Situation im Unternehmen verschaffen

    Welche Compliance-Risiken bestehen aktuell in Ihrer Organisation? Gibt es schon Elemente eines Compliance-Management-Systems? Wo sehen Sie derzeit den größten Handlungsbedarf, um Ihr Unternehmen gesetzeskonform aufzustellen?

  2. Ausrichtung/Risiken: Compliance-Management-System grundsätzlich ausrichten

    Analysieren Sie, welche nationalen und internationalen Gesetze und Vorschriften für Ihr Unternehmen gelten. Nutzen Sie dazu ein vollständiges und aktuelles Gesetzes- und Vorschriftenkataster.

    Mit der Kenntnis der geltenden Regeln und Gesetze geht es an die Bewertung: Wie groß sind die Risiken für Ihr Unternehmen, wenn es nicht durchgängig gesetzes- und regelkonform aufgestellt ist? Davon hängt ab, für welchen Unternehmensbereich Sie sich zuerst Gedanken über ein funktionierendes Compliance-System machen.

  3. Unternehmens- und risikospezifische Konzeption des Compliance Management Systems

    Hier geht es um die Organisation des Compliance-Management-Systems. Welche Compliance-Instanzen gehören dazu, welche weiteren relevanten Bausteine? Die Entscheidung hängt von Ihrer Organisationsstruktur ab, aber auch von den individuellen Risiken, die Sie zuvor identifiziert haben. Sie entscheiden, auf welcher Organisationsebene das Thema Compliance verankert wird, wer dafür zuständig und verantwortlich ist, wer welche Beiträge dazu liefern muss. Installieren Sie einen Compliance-Beauftragen? Mit welchen Kompetenzen wird er ausgestattet? An wen berichtet er?

  4. Operationalisieren des Compliance-Konzeptes

    Sie legen Compliance-Prüfpunkte in den Unternehmensprozessen fest und definieren Verantwortlichkeiten. Bestimmen Sie, welche Unternehmensbereiche Sie kontinuierlich beobachten und an veränderte Gesetze und Vorschriften anpassen.

    Erstellen Sie Detailregelungen, beispielsweise zu Vertragswerken und Arbeitsverträgen. Ein nicht gesetzteskonformes Contracting mit Lieferanten beispielsweise ist haftungsträchtig. Hier sollten Sie Lieferanten vertraglich dazu verpflichten, sich im Sinne der Ethikrichtlinien des Unternehmens zu verhalten.

    Notwendig ist auch die kontinuierliche Information der Mitarbeiter im Unternehmen über die Pflicht zur Einhaltung gesetzlicher Regelungen. Hierzu gehört auch, die Ethikgrundsätze künftigen Arbeitsverträgen beizufügen und gegenzeichnen zu lassen.

    Konkretisieren und führen Sie die Compliance-Instanzen ein. Ziel ist es, die Compliance-Maßnahmen so detailliert zu planen, dass sie reif für die Umsetzung sind.

  5. Umsetzung der Compliance-Maßnahmen

    Setzen Sie die Maßnahmen in den Unternehmensbereichen um, die sie kontinuierlich auf Gesetzeskonformität beobachten. Die Implementierung in der Organisation sieht unter anderem

  • die Schulung der Führungskräfte und Mitarbeiter,
  • die Information der Führungskräfte und Mitarbeiter,
  • die Umsetzung der modifizierten Prozessen und Vorschriften in der Praxis

vor. Nur, wenn Sie die Führungskräfte und die Mitarbeiter ins Boot holen, lässt sich Compliance langfristig umsetzen und im Unternehmen leben.

  1. Kontinuierlicher Verbesserungsprozess und Compliance-Kontrolle

    Langfristig müssen Sie kontinuierlich an der Verbesserung der Compliance in Ihrem Unternehmen arbeiten. Stichwort: „Nachhaltigkeitssicherung“. Compliance muss zum integralen Bestandteil der täglichen Arbeit in der Organisation werden. Dazu gehört auch die Compliance-Kontrolle.

    Element der Überprüfung sind regelmäßige Audits der umgesetzten Maßnahmen: Werden sie in der Praxis tatsächlich gelebt? Überprüfen Sie Ihr Compliance-Management-System, ob es im Alltag praktikabel ist oder ob es angepasst werden muss. Entwickeln Sie es ständig weiter und tragen Sie dazu bei, dass es mittel- bis langfristig als völlig selbstverständlich wahrgenommen und umgesetzt wird.

    Schulung der Mitarbeiter

Weiterer Bestandteil der Compliance-Kontrolle ist die Schulung der Mitarbeiter. Mit Hilfe eines Gesetzeskatasters sollten Sie wissen, welche Gesetze, Vorschriften und Richtlinien sich ändern und welche Auswirkungen das auf Ihre Organisation hat. Ihre Mitarbeiter müssen Sie über die Veränderungen informieren und immer wieder schulen. Dazu empfehlen wir die Einführung eines Compliance Schulungsprogrammes.

Lassen Sie das Thema Compliance nicht aus den Augen. Sie müssen nicht regelkonformes Verhalten im Unternehmen nicht nur aufdecken, sondern verhindern. Schließlich sind die Konsequenzen mangelnder Compliance weitaus komplexer und komplizierter zu handhaben, als die notwendige Auseinandersetzung und Umsetzung eines Compliance-Systems und der notwendigen Compliance-Kontrolle.

Aufsichtsrat

Aufsichtsrat und Compliance – Überwachung und Steuerung

Die Geschäftsführung oder der Vorstand eines Unternehmens sind für die Einführung und Umsetzung eines wirkungsvollen Compliance Management Systems im gesamten Unternehmen verantwortlich. Doch wer kontrolliert die Unternehmensleitung, ob ihr Verhalten jederzeit gesetzeskonform ist und ob sie die Rechtskonformität über alle Unternehmensebenen hinweg umsetzt und überwacht? Hier kommt dem Aufsichtsrat oder Beirat eine wichtige Rolle bei der Kontrolle des Compliance Management Systems zu.

Systemüberwachung und Beratung des Vorstands

Gesetzlich ist der Aufsichtsrat von Geschäftsführungsaufgaben ausgeschlossen. Ihm kommt vielmehr die zentrale Aufgabe der Beratung, Systemüberwachung und Kontrolle der Geschäftsführung bzw. des Vorstandes zu. Dazu gehört auch die Klärung, ob die Geschäftsleitung dafür sorgt, dass im Rahmen eines funktionierenden und wirksamen Compliance Management Systems sämtliche relevanten Gesetze, Vorschriften und Regularien eingehalten werden, um Geldstrafen, aber auch Imageverlust in der Öffentlichkeit zu verhindern.

Informationspflicht des Vorstandes

Der Deutsche Corporate Governance Kodex sieht deshalb vor, dass ein Vorstand regelmäßig und umfassend den Aufsichtsrat über Compliance-relevante Themen im Unternehmen informieren muss. Findet dieser Austausch nicht statt, muss der Aufsichtsrat die Complianceberichte vom Vorstand oder der Geschäftsführung aktiv einfordern. Im „Schadensfall“ ist der Aufsichtsrat außerdem aufgerufen, zur Aufklärung und Behebung nicht rechtskonformen Verhaltens im Unternehmen beizutragen. Ansonsten können auch die Mitglieder des Kontrollgremiums persönlich haften.

Fachliche Auseinandersetzung gefordert

Der Aufsichtsrat eines Unternehmens kann diese Kontrollfunktion gegenüber dem Vorstand oder der Geschäftsführung indes nur nach einer intensiven fachlichen Auseinandersetzung mit dem Thema und bei einem funktionierenden Compliance Management System im Unternehmen effizient wahrnehmen. Nur dadurch wird er in die Lage versetzt, die Wirksamkeit des Systems zu beurteilen und die Frage zu klären, ob Risiken der Unternehmenstätigkeit darin angemessen abgebildet sind. Die fachliche Auseinandersetzung der Aufsichtsratsmitglieder mit allen Themen rund um die Compliance in ihrem Unternehmen ist heutzutage ein absolutes Muss.

Anforderungen an einen Compliance Manager

Anforderungen an einen Compliance Manager: rechtskonform, prozessorientiert und sozial kompatibel

Viele Compliance Manager sehen sich heute sehr schnell mit den Herausforderungen konfrontiert, vorhandene Compliance Strukturen zu optimieren oder erst einmal aufzubauen. Deshalb gehen die fachlichen Anforderungen schnell über juristische Fragestellungen hinaus.

Was bedeutet das für die Eigenschaften eines Compliance Managers, welches Know-how braucht ein Compliance Manager bzw. die Mitarbeiter in Ihrem Unternehmen, die für die Einhaltung der Compliance verantwortlich sind? Wie führt man effiziente Compliance-Risiko-Analysen entlang der Wertschöpfungskette durch? Wie werden die größten Risiken identifiziert? Wie können die dazugehörigen Unternehmensprozesse und –richtlinien schnell korrigiert oder etabliert werden, um prüfbare und sichere Abläufe zu implementieren? Welche Maßnahmen und Tools können helfen, in allen Unternehmensbereichen auf allen Ebenen Transparenz und Klarheit über die einzuhaltenenden Regeln zu gewährleisten?   Wie kann effizient und regelmäßig auditiert werden, ob sich alle Mitarbeiter auf allen Hierarchieebenen an geltende Gesetze, Regeln und Vorschriften halten? Die Aufgabe ist komplex und ihre (Nicht-)Erfüllung hat weitreichende Folgen – von Geldstrafen über Imageverlust bei Geschäftspartnern und Kunden bis hin zu Haftstrafen. Wen also damit betrauen?

Fachliches Know-how? Selbstverständlich!

Bei einem Anbieter eines Ausbildungslehrgangs zum Compliance Officer heißt es: Sie „erhalten umfassendes Compliance-Fachwissen, das Sie als Compliance Officer unbedingt benötigen.“ Compliance-Fachleute vermitteln den Teilnehmern, wie sie „die Einhaltung nationaler und internationaler Vorschriften sicherstellen, eine wirksame Compliance-Organisation aufbauen, Risiken richtig analysieren, Kontroll- und Überwachungsmechanismen installieren“. Damit sollte das fachliche Know-how sichergestellt sein, denn der Lehrgang geht auf die wesentlichen Aufgaben eines Compliance-Officers ein. Aber ist das so?

Anforderungen an einen Compliance Manager

Wie anhand der eingangs gestellten Fragen klar wird, sind die Anforderungen sicherlich viel komplexer und vielseitiger, als dies in den allgemeinen Ausbildungsgängen, häufig nur wenige Tage dauernden Lehrgängen vermittelt werden kann. Und die „eierlegende Wollmilchsau“ ist bekanntlich selten. Deshalb liegt die Betonung beim Compliance Manager auch auf MANAGEMENT. Der Compliance Manager sollte in der Lage sein, für den jeweiligen Unternehmenszweck und -inhalt passend zur gegenwärtigen Kultur die Schwerpunkte schnell zu identifizieren und die notwendigen fachlichen Ressourcen aufzubauen. Auch ist es häufig sinnvoll, dauerhaft  oder zeitweise wichtige Aktivitäten im Outsourcingverfahren  von externen Profis darstellen zu lassen, deren Kerngeschäft es ist, beispielsweise permanent wertstrombasierte Risikoanalysen, Organisationsdesign, Compliance-Schulungen/-Unterweisungen oder Erstellung und Pflege von Rechtskataster auszuführen.

Es kristallisiert sich also heraus, dass der Compliance Manager sich zunächst strategisch klar werden muss, wie das Design der Compliance-Struktur passend zum Unternehmen aussehen sollte. Dies kann auf Basis einer SWOT-Analyse oder einem Compliance Model Canvas erarbeitet werden. Hieraus ergibt sich dann Klarheit über Organisationslücken und die notwendige Maßnahmen, diese zu schließen. Begleitet wird dies dann permanent von den Fragen hinsichtlich der verfügbaren Möglichkeiten („Make-or-Buy“) und der effizientesten Vorgehensweise gemäß der alten Ingenieursregel: so grob wie möglich, so fein wie nötig.

So kommt man schnell an den Punkt, dass der Compliance Manager also ein guter Manager mit der Fähigkeit zur Einnahme der „Helikopterperspektive“, Führungsstärke sowie Delegation und Überwachung von Aktivitäten ausgestattet sein sollte. Dies führt dann auch zu der Erkenntnis, dass hohe soziale Anforderungen an einen Compliance Manager gestellt werden.

Soziale Anforderungen an einen Compliance Manager

Nicht beschrieben wird in Lehrgängen meist, dass es neben der Fachebene auch eine soziale Komponente bei den Anforderungen an einen Compliance-Officer gibt. Ist derjenige, der Mitarbeiter auf allen Hierarchieebenen anhält und durchsetzen muss, dass sie sich rechtskonform verhalten, dazu auch menschlich in der Lage? „Compliance Officer ist eine Mischung aus Sadomasochist und Religionslehrer“, schreibt Irina Jäkel, Editor in Chief beim Compliance Manager Magazin, in ihrem Artikel „Lasst mich durch, ich bin Compliance Officer!“ Sadomasochist, weil sie kaum Anerkennung oder Lob erhielten, manchmal wenig Rückendeckung von der Geschäftsleitung bekämen, als „Verhinderer“ gelten würden und im Allgemeinen nicht besonders beliebt seien. Religionslehrer, weil sie ähnlich einem Pädagogen den Mitarbeitern immer und immer wieder Gebote und Verbote vermitteln müssten.

Was sind daher die wichtigsten Anforderungen an einen Compliance Manager

  1. Unabhängig muss er sein, im Alltag ein starkes Rückgrat und Selbstbewusstsein besitzen, um sich auch von der Unternehmensleitung nicht vereinnahmen oder beeinflussen zu lassen.
  2. Kooperativ sollte er sein, da er mit den Mitarbeitern in den unterschiedlichsten Unternehmensbereichen zusammenarbeiten muss, um die Einhaltung der Vorschriften und Regeln zu erreichen.
  3. Empathisch zu sein erleichtert dem Compliance Manager seine tägliche Arbeit, weil er die Mitarbeiter für sich und sein Anliegen einnimmt und zugleich ihre berechtigten Interessen im Tagesgeschäft berücksichtigt.
  4. Kommunikativ sollte er sein, um für seine Sache zu werben und die Mitarbeiter von der Sinnhaftigkeit jederzeit rechtskonformen Verhaltens zu überzeugen.
  5. Integer und vertrauenswürdig sind selbstverständliche Eigenschaften eines Compliance Manager, um in der Tätigkeit glaubwürdig zu sein.

Gepaart mit dem umfassenden fachlichen Know-how sind das die Anforderungen an einen Compliance Manager, die er bzw. sie auf der menschlichen Ebene unbedingt erfüllen sollte. Für Arbeitgeber bedeutet das, dass die Papierform bei der Personalauswahl gerade für diese Stelle meist nicht reicht.

Whistleblower-Gesetz

Europäische Kommission plant neue Richtlinie zum Schutz der Whistleblower

Die Europäische Kommission plant den besseren Schutz von Whistleblowern. Ende April hat Frans Timmermans, Erster Kommissions-Vizepräsident, den Vorschlag zu einer neuen Richtlinie zur Stärkung des Schutzes von Hinweisgebern (Whistleblower) in der gesamten EU vorgestellt.

Rahmenbedingungen für den Schutz der Whistleblower schaffen

In der Information der Europäischen Kommission heißt es: „Der Vorschlag gewährleistet EU-weiten Schutz bei der Meldung von Verstößen gegen das EU-Recht in den Bereichen öffentliche Auftragsvergabe, Finanzdienstleistungen, Geldwäsche und Terrorismusfinanzierung, Produktsicherheit, Verkehrssicherheit, Umweltschutz, kerntechnische Sicherheit, Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz, öffentliche Gesundheit, Verbraucherschutz, Schutz der Privatsphäre, Datenschutz und Sicherheit von Netz- und Informationssystemen. Die neuen Vorschriften sollen außerdem bei Verstößen gegen die EU-Wettbewerbsvorschriften und die Körperschaftsteuer-Vorschriften sowie bei Schädigungen der finanziellen Interessen der EU zur Anwendung kommen. Die Kommission empfiehlt den Mitgliedstaaten, über diese Mindeststandards hinauszugehen und darauf aufbauend umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen.“

Ohne Whistleblower wären Skandale nicht aufgedeckt worden

„Viele der jüngsten Skandale wären nicht ans Licht gekommen, hätten Hinweisgeber nicht den Mut gehabt, sie zu melden. Dabei haben sie jedoch große Risiken auf sich genommen. Wenn wir Hinweisgeber besser schützen, können wir Gefahren für das öffentliche Interesse wie Betrug, Korruption, Steuervermeidung und Schäden für unsere Gesundheit und die Umwelt besser erkennen und vermeiden. Wer richtig handelt, sollte nicht bestraft werden“, sagte Timmermans in der Erklärung. Dabei verwies er auf Skandale der letzten Zeit, darunter Dieselgate, Luxleaks, die Panama Papers sowie rund um das britische Datenanalyse-Unternehmen Cambridge Analytica. Hinweisgeber, so Timmermans, könnten bei der Aufdeckung rechtswidriger Handlungen, die dem öffentlichen Interesse und dem Wohl der Bürger und der Gesellschaft schadeten, eine wichtige Rolle spielen.

Besserer Schutz vor Repressalien

Laut der neuen Richtlinie sollen Whistleblower, die Verstöße gegen das EU-Recht melden, in der gesamten Europäischen Union besser geschützt werden. Über sichere Kanäle können sie künftig Meldungen in ihrer eigenen Organisation oder auch an Behörden machen. Besser geschützt werden sie vor Kündigungen, Zurückstufungen oder andere Repressalien, die sie aufgrund ihrer Hinweise erleiden könnten.  Bislang, so die Kommission, bezahlten sie für ihren Einsatz oftmals mit ihrem Arbeitsplatz, ihrem Ruf oder sogar ihrer Gesundheit. 36 % der Arbeitnehmer, die Verstöße gemeldet hätten, berichteten von Vergeltungsmaßnahmen (Global Business Ethics Survey 2016).

Die Regelungen im Detail

Das sieht die geplante Richtlinie vor (Quelle: Europäische Kommission):

„Alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Mio. Euro müssen ein internes Verfahren für den Umgang mit Meldungen von Hinweisgebern einführen. Auch alle Landes- und Regionalverwaltungen und Gemeinden mit mehr als 10 000 Einwohnern werden von der neuen Richtlinie erfasst.

Die erforderlichen Schutzmechanismen sollen Folgendes umfassen:

  • klare Meldekanäle innerhalb und außerhalb der Organisation, um die Vertraulichkeit zu wahren;
  • ein dreigliedriges Meldesystem bestehend aus:
    • internen Meldekanälen;
    • Meldungen an die zuständigen Behörden – wenn interne Kanäle nicht funktionieren oder nach vernünftigem Ermessen nicht funktionieren können (z. B. wenn die Nutzung interner Kanäle die Wirksamkeit von Untersuchungsmaßnahmen der zuständigen Behörden gefährden könnte);
    • Meldungen in der Öffentlichkeit/den Medien – wenn nach der Meldung über andere Kanäle keine geeigneten Maßnahmen ergriffen werden oder wenn eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses oder die Gefahr eines irreparablen Schadens besteht.
  • Rückmeldepflichten für Behörden und Unternehmen‚ die innerhalb von drei Monaten auf Meldungen von Missständen reagieren und sie weiterverfolgen müssen.
  • Vermeidung von Vergeltungsmaßnahmen und wirksamer Schutz: Jegliche Vergeltungsmaßnahmen sind untersagt und sollen geahndet werden. Wenn ein Hinweisgeber Vergeltungsmaßnahmen erleidet, soll er Zugang zu kostenloser Beratung und angemessenen Abhilfemaßnahmen erhalten (z. B. Maßnahmen gegen Belästigung am Arbeitsplatz oder zur Vermeidung einer Entlassung). Die Beweislast wird in solchen Fällen umgekehrt, sodass die von der Meldung betroffene Person oder Organisation nachweisen muss, dass sie keine Vergeltungsmaßnahmen gegen den Hinweisgeber ergreift. Hinweisgeber werden auch in Gerichtsverfahren geschützt, etwa indem sie von der Haftung für offengelegte Informationen befreit werden.

Regelungen in der EU uneinheitlich

Bislang werden Whistleblower in den Ländern der Europäischen Union sehr unterschiedlich geschützt: Nur zehn Mitglieder gewähren uneingeschränkten Schutz, die anderen (darunter auch Deutschland) nur teilweise in bestimmten Wirtschaftszweigen oder für gewisse Kategorien von Arbeitnehmern.

Věra Jourová, EU-Kommissarin für Justiz, Verbraucher und Gleichstellung, betonte in der Presseerklärung: „Mit den neuen Regeln für den Hinweisgeberschutz wird sich das Blatt wenden. In einer globalisierten Welt, in der das Streben nach Gewinnmaximierung mitunter zulasten der Gesetzestreue geht, müssen wir Menschen helfen, die das Risiko auf sich nehmen und schwere Verstöße gegen das EU-Recht aufdecken. Das sind wir den ehrlichen Menschen Europas schuldig.“