Foto: Fotolia/momius

Aufbau eines Hinweisgebersystems

Fingerspitzengefühl gefragt

Edward Snowden dürfte momentan der berühmteste seiner Zunft sein – der Whistleblower. Seine Karriere ist erst einmal beendet, wie so oft in ähnlichen Fällen. Dabei kann es für Unternehmen äußerst sinnvoll sein, ein Hinweisgebersystem zu installieren, wie PROTECTOR von Rainer Benne, Geschäftsführer der Benne Consulting GmbH, erfuhr.

PROTECTOR: Was versteht man überhaupt unter einem Whistleblower-System?

Rainer Benne: Grundsätzlich geht es bei einem Whistleblower-System darum, dass die Möglichkeit für Personen in- und außerhalb des Unternehmens besteht, einer definierten Stelle wie zum Beispiel Compliance oder Revision Hinweise zu Regelverstößen im weitesten Sinne zu geben. Unternehmen praktizieren in diesem Zusammenhang teilweise einfache Lösungen und richten eine Mailadresse wie zum Beispiel „Hinweise@yxz-AG.com“ ein oder bedienen sich softwarebasierter Lösungen.

Die Nutzung eines softwarebasierten Produktes hat dabei den ausschließlichen Vorteil für den Whistleblower, tatsächlich anonym agieren zu können. Der Whistleblower kommuniziert mit dem Unternehmen verschlüsselt und ist nicht identifizierbar. Die Anbieter dieser Systeme betreiben sicherheitszertifizierte IT-Lösungen und agieren in der Regel unter dem jeweils aktuell höchst möglichen Sicherheitsstandard.

Welches sind die Vorteile eines solchen Whistleblower-Systems?

Ich sehe im Betrieb eines Whistleblower-Systems zwei wesentliche Vorteile. Zum einen die Prävention: Das Entdeckungsrisiko möglicher Taten zum Nachteil des Unternehmens steigt signifikant. Niemand kann sich sicher sein, dass seine Tat unentdeckt bleibt und nicht gemeldet wird.

Das Whistleblower-System nimmt dem Meldenden eine Hemmschwelle und gegebenenfalls die Angst vor Repressalien. Die erlangte Kenntnis insbesondere von Straftaten wie Korruption oder kartellrechtlich relevanter Verstöße schützt letztendlich das Unternehmen und verbessert dessen Governance nachhaltig.

Zum anderen amortisiert sich das System. Es schützt das Unternehmen vor Schaden und den damit verbundenen Kosten.

Aber gibt es dabei nicht auch ein Problem? Wo verläuft die Grenze zum „Denunziantentum“?

Sie haben recht. Ein solches System ist durchaus als Werkzeug für Denunzianten nutzbar. Missgunst, Hass und Neid unter Mitarbeitern oder Lieferanten können Motivation sein, jemanden über ein solches System zu schaden.

Es ist daher die Aufgabe des Nachrichtenempfängers, bei eingehenden Hinweisen „die Spreu vom Weizen“ zu trennen. Das bindet unnötig (oft nicht) vorhandene Ressourcen und ist ein Übel des Systems. Viele Unternehmen lösen diese Problematik durch die Aufschaltung des Systems auf einen Ombudsmann, der eine Vorfilterung eingehender Hinweise vornimmt, mit den Hinweisgebern kommuniziert und so den jeweils zuständigen Stellen im Unternehmen nur die entscheidenden Hinweise zur Weiterverfolgung übergibt.

Wenn ich mich nun als Unternehmen für ein Hinweis-gebersystem entscheide, in welchen Schritten gehe ich vor?

Hier spielen mehrere Überlegungen eine Rolle. Soll das System zentral betrieben werden oder sollen Tochtergesellschaften und darunter wieder Auslandsgesellschaften eigene Systeme betreiben? Ist gegebenenfalls vorgesehen, das System gar nicht im Unternehmen, sondern über einen Ombudsmann zu betreiben? Welche Sprachen sollen bedient werden?

Dann gilt es, die Interessen im Unternehmen zu berücksichtigen. Compliance, Revision, Sicherheit und wenn es einen Anti-Korruptionsbeauftragten gibt, dann auch dieser, haben unterschiedliche Anforderungen, die zusammenzuführen sind. Diese Anforderungen sind zu definieren und in ein Lastenheft zu übernehmen, auf dessen Basis ausgeschrieben wird.

Klingt ganz schön kompliziert ...

Stimmt; Sie werden auch schnell merken, dass es nicht viele Anbieter gibt, die ein System mit komplexen Anforderungen, zum Beispiel für einen Global Player mit dezentralem Betrieb in einer Vielzahl von Ländern und ebenso vielen Sprachen, liefern können.

Gibt es auch rechtliche Grundlagen, die eingehalten werden müssen?

Ja, ein ganz wesentliches Thema ist der Datenschutz. Es gilt sowohl den Austausch von Daten innerhalb des Betriebes eines Systems als auch später die Nutzung und Verarbeitung überlieferter Daten unter Wahrung der einschlägigen gesetzlichen Bestimmungen durchzuführen.

Wie informiert man am besten seine Mitarbeiter?

Die Unternehmen sind inzwischen alle sehr geübt und haben eine ausgesprochen gute Compliance-Kommunikation entwickelt. Unter Nutzung der vorhandenen Unternehmensmedien wird sehr kreativ nicht nur für die Nutzung solche Systeme, sondern sehr stark für eine funktionierende Unternehmens-Governance geworben.

Wenn ich nun alles entsprechend installiert habe - wie reagiere ich als Unternehmer, wenn ich Hinweise auf gravierende Gesetzesverstöße bekomme? Muss es da einen „Notfallplan“ geben?

Ich mag den Hinweis auf einen gravierenden Gesetzesverstoß nicht als „Notfall“ bezeichnen. Ein solcher Hinweis kann auch ein „Glücksfall“ sein, weil das Unternehmen vor Schaden bewahrt wird. Wichtig ist, dass es ein Konzept gibt, wie man mit einem solchen Hinweis umgeht. Die meisten Unternehmen haben für diesen Fall Kompetenzteams aufgestellt, in denen die wesentlichen Organisationseinheiten wie Compliance, Sicherheit, Revision, Recht, Presse vertreten sind.

Es gibt vordefinierte Workflows, wie in welchem Fall zu verfahren ist, wer wann informiert wird und wer welche Entscheidung trifft.

Hier gilt der Grundsatz, „Planbares zu planen“. Wer nicht in der Lage ist, einen solchen Hinweis kompetent zu handhaben, bringt das Unternehmen unter Umständen in die Gefahr einer Krise.

Woraus entsteht eine solche Krise?

Whistleblower haben in der Regel ein positives Handlungsmotiv. Sie wollen Schaden vom Unternehmen abwenden. Der Whistleblower verändert sich in seiner Haltung, wenn er sieht, dass im Unternehmen nichts passiert. In diesem Fall kann es passieren, dass die Loyalität gegenüber dem Unternehmen gravierend leidet. Der Whistleblower eskaliert und kommuniziert an Strafverfolgungsbehörden oder Presse.

Nicht selten entsteht daraus für das Unternehmen die Situation, sich öffentlich zu rechtfertigen. Diese Situationen gehen oftmals mit einer Kommunikationskrise einher und schädigen die Reputation des Unternehmens. Hinweise von Whistleblowern erfordern Sensibilität und Erfahrung im Umgang.

Zum Schluss: Was würden Sie Herrn Snowden jetzt noch mit auf den Weg geben?

Ich habe Hochachtung vor seinem Entschluss, in eindeutiger Kenntnis der politischen Dimension seiner Aussagen, das weltweit mit Empörung bedachte Vorgehen der US-Geheimdienste preiszugeben. Er hat das nicht anonym gemacht. Er wusste zu jeder Zeit, dass sein Leben nie wieder das gleiche sein wird wie vor seinem Entschluss.

Ich wünsche ihm die Kraft, das alles auszuhalten, was er erlebt hat und was er noch erleben wird. Ich wünsche ihm auch, dass er sich als Zufluchtsort das richtige Land ausgesucht hat. Bei seinem Hintergrund weiß er auch in diesem Fall, was er getan hat.

Interview: Annabelle Schott-Lung

Rainer Benne war Leiter des Flughafenschutzdienstes der Fraport AG, Leiter der Konzernsicherheit der Porsche AG sowie deren Compliance Officer und ist heute selbständiger Unternehmensberater

Foto: Fotolia/Natalia Merzlyokakova

Hinweisgebersysteme

Mehr als ein Feigenblatt

In Folge der Umsetzung der Basel-III-Regelungen gelten für Finanzinstitute in den Ländern der EU weitreichende Compliance-Anforderungen. Die Einführung eines Hinweisgebersystems im Rahmen der Betrugsprävention ist dabei ein wesentlicher Bestandteil.

Foto: www.jenaFoto24.de/Pixelio

Hinweisgebersystem im Krankenhaus

Straftaten frühzeitig erkennen

Mindestens 90 Patienten fielen der Mordserie des ehemaligen Krankenpflegers Niels H. zum Opfer. Durch anonyme Meldemöglichkeiten hätte er womöglich früher gestoppt werden können.

Foto: Fotolia/photo 5000

Mitarbeiterkriminalität

Sicherheitskultur vorleben

Betrug, Korruption, Diebstahl, Unterschlagung, jeder nimmt sich was er braucht. Studien haben ergeben, dass nur die wenigsten Mitarbeiter generell ehrlich sind. Die meisten Mitarbeiter verfahren nach der Devise, dass sie bei günstiger Gelegenheit zugreifen.

Foto: Fotolia/Wright-Studio

Compliance

Sicherheit schaffen

Anti-Korruptionsgesetze, verschärfte Compliance-Regelungen und Empfehlungen zu guter Unternehmensführung – das Jahr 2017 birgt Herausforderungen und Stolpersteine. Das richtige Compliance-Lösungssystem schafft Sicherheit und schützt vor Haftungsrisiken.