Mehr als ein Feigenblatt

Mit Umsetzung des „CRR/CRD IV“-Pakets, bestehend aus der Verordnung (EU) Nr. 575/2013 (CRR) und der Richtlinie 2013/36/EU (CRD IV), das weitreichende Änderungen des europäischen Bankenaufsichts-rechts umfasst, reagiert der Gesetzgeber auf die Milliardenschäden, die durch die Finanzkrise verursacht wurden. Kern des Pakets ist die EU-rechtliche Umsetzung des Basel III-Regelwerks.

Mit dem Beschluss wird erstmals gesetzlich normiert, dass eine Geschäftsorganisation einen Prozess vorsehen muss, der es Mitarbeitern unter Wahrung ihrer Anonymität ermöglicht, Hinweise zu strafrechtlich relevanten Handlungen an eine geeignete Stelle im Unternehmen abzugeben.

Der Einsatz eines solchen Hinweisgebersystems - oder auch Whistleblowing Systems - stellt für viele Kreditinstitute auch ein Jahr nach Einführung der Gesetzgebung eine große Herausforderung dar. Welches Meldesystem passt zur eigenen Organisation? Welche Aspekte gilt es bei der Implementierung und im laufenden Betrieb zu beachten?

Und: Wie können Kreditinstitute die gesetzlichen Anforderungen erfüllen und das Hinweisgebersystem gleichzeitig zur Steigerung des eigenen Unternehmenserfolgs einsetzen?

Vom Briefkasten im Haus über eine interne Vertrauensperson oder einen externen Ombudsmann bis hin zum elektronischen Hinweisgebersystem existieren unterschiedliche Möglichkeiten der Hinweiserfassung. Welches System für die jeweilige Institution geeignet ist, hängt unter anderem von deren Größe und Struktur sowie der Zielgruppe der potentiellen Hinweisgeber ab.

Trotzdem gibt es einige grundlegende Überlegungen, die helfen, ein dem eigenen Bedarf optimal angepasstes System zu ermitteln. So erfüllt ein Brief zwar die Anforderung, jederzeit und von fast jedem Ort der Welt versendet werden zu können, erreicht aber nicht immer den richtigen Ansprechpartner im Unternehmen.

Wird er anonym verfasst, wird er zudem zu einer kommunikativen Einbahnstraße. Hiermit sind bereits zwei wesentliche Anforderungen an Hinweisgebersysteme benannt: Die Möglichkeit, eine Meldung (bei Bedarf) anonym tätigen zu können, wie auch in der Novelle des Kreditwesengesetzes (§ 25 a KWG) für Finanzinstitute in Deutschland gefordert, und die Gewährleistung eines Dialogs für Rückfragen zum Vorfall.

Es existieren unterschiedliche Ausgestaltungsmöglichkeiten dafür, die jeweils Vorzüge, aber auch Einschränkungen haben. Eine anwaltliche Ombudsperson stellt in der Regel eine vertrauenswürdige Anlaufstelle für Hinweisgeber dar. Im Gespräch mit ihr kann sie nicht nur das ungefilterte Melden zu unerwünschten Themen unterbinden, sondern, mit Hilfe gezielter Rückfragen, auch die Plausibilität und Glaubwürdigkeit des Hinweises prüfen.

Allerdings kann sich die naturgemäß eingeschränkte zeitliche und örtliche Erreichbarkeit sowie eine für gewöhnlich limitierte Sprachabdeckung als Nachteil erweisen.

Eine mögliche Alternative sind speziell für die Meldungsabgabe entwickelte Webanwendungen, die in der Lage sind, all die genannten Anforderungen – darunter auch einen geschützten Dialog zwischen Hinweisgeber und unternehmensseitigem Bearbeiter – flexibel abzubilden und die, bei Bedarf, auch mit einer Ombudsperson kombiniert werden können.

Mit Sicherheit gibt es kein „One fits all“-Patentrezept, aber für jede Unternehmensstruktur und -größe eine adäquate Compliance-Lösung. Elektronische Hinweisgebersysteme sind in der Lage, die individuellen Anforderungen einer Organisation flexibel abzubilden. Dient ihr Einsatz jedoch der bloßen Regelbefolgung, werden sie schnell als Feigenblatt enttarnt.

Um Hinweisgeber-systeme im Interesse der Organisation einzusetzen, müssen sie in ein umfangreiches Werte- und Compliance-Management eingebettet werden. Dazu gehört auch, dass die Unternehmensführung den Einsatz befürwortet und ihr eigenes Verhalten am Code of Conduct ausrichtet.

Die Implementierung des Hinweisgebersystems sollte stets von entsprechenden Kommunikationsmaßnahmen begleitet werden. Nur wenn die Mitarbeiter und andere potentielle Hinweisgeber verstehen, zu welchem Zweck das System eingesetzt wird und wie der Prozess der Hinweisbearbeitung und -beurteilung vonstatten geht, werden sie die Anwendung auch nutzen.

Eine hohe Akzeptanz des Systems schließlich ist ganz im Sinne der jeweiligen Organisation und reduziert nicht bloß (persönliche) Haftungsrisiken. Mit der Nutzung sinkt darüber hinaus auch die Gefahr, dass sich Tippgeber einen öffentlichen Meldekanal suchen und Missstände bekannt werden. Auf diese Weise werden nachweislich sowohl finanzielle als auch reputative Schäden von der Institution abgewendet.

• Höchste Anforderungen an den Datenschutz und die Datensicherheit: In Hinweisgebersystemen werden regelmäßig personenbezogene Daten verarbeitet. Aus diesem Grund müssen sie höchsten Anforderungen an den Schutz und die Sicherheit dieser Daten in allen Prozessschritten von der Erfassung bis zur Löschung eines Hinweises gerecht werden. Wird der Prozess ausgegliedert, sollte eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden.
• Spezielle Verschlüsselungstechniken und Dialogmöglichkeit: Die Möglichkeit, bei Bedarf anonym zu melden, senkt die Hemmschwelle auf Seiten des Hinweisgebers und erhöht somit die Akzeptanz und den Erfolg des Hinweisgebersystems. Gleichzeitig ist der Dialog zwischen Hinweisgeber und unternehmensseitigem Bearbeiter wichtig für die effiziente Klärung von Vorfällen. Mit speziellen Verschlüsselungstechniken und einer Postkastenfunktion kann der vertrauliche Austausch realisiert und gleichzeitig die Identität des Hinweisgebers geschützt werden.
• Datenhaltung und -zugriff: Eine Datenhaltung auf geschützten Servern in Deutschland ist in jedem Fall ratsam, nicht zuletzt in Konsequenz aus der auf die NSA-Affäre. Zudem ist es wichtig, dass Externe, darunter auch der Anbieter des Hinweisgebersystems selbst, zu keinem Zeitpunkt interpretierbaren Zugriff auf die Daten haben.
• Unabhängige Kontrollen der Sicherheit der Anwendung: Regelmäßige Sicherheits- und Penetrationstests unabhängiger IT-Experten sind ein wichtiges Qualitätsmerkmal eines elektronischen Hinweisgebersystems. Datenschutzzertifizierungen nach deutschem und/oder europäischem Datenschutzrecht dienen als weiteres Indiz für die Sicherheit einer solchen Anwendung.
• 24/7 – Erreichbarkeit: Ein großer Vorteil von elektronischen Hinweisgebersystemen ist die permanente Erreichbarkeit weltweit.
• Sprachabdeckung: Abhängig von seiner Ausgestaltung, ist ein webbasiertes Meldesystem in der Lage, Hinweise in einer Vielzahl von Sprachen entgegenzunehmen. Für international tätige Unternehmen ist dies ein wichtiges Kriterium, um Hinweisgebern die Meldungsabgabe in der eigenen Muttersprache zu ermöglichen und somit die Hemmschwelle so niedrig wie möglich zu halten. Mit Hilfe einer Übersetzungsfunktion können die eingegangenen Meldungen im zweiten Schritt in die Sprache des jeweiligen Meldungsbearbeiters übertragen werden.
• Eingrenzung der Themen: Um wahlloses Melden und eine missbräuchliche Nutzung der Anwendung zu unterbinden, können in elektronischen Hinweisgebersystemen unternehmensindividuelle Themenschwerpunkte definiert werden.
• Abbildung länderspezifischer Datenschutzanforderungen: Beim internationalen Einsatz eines Hinweisgebersystems müssen die landeseigenen Datenschutzanforderungen und Rechtsvorschriften berücksichtigt werden. So sind anonyme Hinweise oder Meldungen zu bestimmten Themen in einigen Ländern nicht zulässig. Webbasierte Applikationen können in der Lage sein, diese spezifischen Anforderungen abzubilden.
• Fallbearbeitung und Dokumentation: Mit einem an das Hinweisgebersystem gekoppelten Case Management können Ergebnisse und Maßnahmen des Bearbeitungsprozesses von Meldungen aus unterschiedlichen Quellen festgehalten und ausgewertet werden. Reports und Statistiken dienen gleichzeitig der rechts- und revisionssicheren Dokumentation der Fälle und vermitteln der Unternehmensleitung relevante Informationen.
• Kombinationen unterschiedlicher Meldewege: Moderne webbasierte Hinweisgebersysteme sind modular aufgebaut und ermöglichen die Hinweiserfassung und –bearbeitung von Meldungen unterschiedlicher Quellen. Auf diese Weise können sie im Rahmen des Compliance Managements eines Unternehmens etwa in Kombination mit einer sprachbasierten Lösung und/oder einer Ombudsperson eingesetzt werden.

Kai Leisering, Vorstand der Business Keeper AG