Sicherheit schaffen

Elektronische Hinweisgeber- systeme gelten als Best-Practice-Baustein interner Risikoprävention und Korruptions- bekämpfung. Sie sind Teil einer ganzheitlichen Compliance-Lösung – auch vor dem Hintergrund des steigenden Regulierungsdrucks. Zahlreiche neue Gesetze des vergangenen Jahres verdeutlichen die Dringlichkeit einer effektiven Risikoprävention.

Die neuen Auflagen im Gesundheitswesen beispielsweise setzen strengere Einhaltungen von Regeln für ethische Standards und gesetzliche Vorgaben voraus. Eine qualitativ hochwertige Versorgung anzubieten und den immer strikteren regulatorischen Anforderungen nachzukommen, ist für viele Verantwortliche eine diffizile Herausforderung. Mit dem Gesetz zur Bekämpfung von „Korruption im Gesundheitswesen“ (§§ 299a, 299b StGB-E) von 2016 rückt die wettbewerbswidrige Zusammenarbeit von Leistungserbringern in den Fokus der Strafverfolgung. Angehörigen eines Heilberufs, die für sich oder einen Dritten einen Vorteil generieren und somit in unlauterer Weise am Wettbewerb teilnehmen, drohen künftig Strafzahlungen und bis zu fünf Jahre Haft. Darüber hinaus steigen die Haftungsrisiken: Die Unternehmen selbst können mit Sanktionen belegt werden, wenn ihre Mitarbeiter Straftaten oder Ordnungswidrigkeiten begehen (§§ 9, 30, 130 OwiG). Experten raten den Verantwortungsträgern deshalb, potenzielle Risiken frühzeitig zu identifizieren, geeignete Compliance-Maßnahmen zu etablieren und deren Umsetzung kontinuierlich zu überwachen.

Deutsche Versicherungsunternehmen sind seit Juni 2016 dazu verpflichtet, bestimmte Compliance-Prozesse einzuführen. Unter anderem muss es Mitarbeitern erlaubt sein, unter Wahrung der Vertraulichkeit ihrer Identität potenzielle oder tatsächliche Verstöße gegen die Marktmissbrauchsverordnung (MAR) EU 596 / 2014 oder das Versicherungsaufsichtsgesetz (VAG) zu melden. Hier können elektronische Hinweisgebersysteme maßgeblich unterstützen: Sie ermöglichen eine anonyme Meldungsabgabe und bieten gleichzeitig die Möglichkeit eines Dialogs. Gleichzeitig sollte sichergestellt werden, dass die Hinweisgebersysteme auditierbar sind.

Die Regierungskommission Deutscher Corporate Governance Kodex (DCGK) formuliert Empfehlungen und Anregungen für eine gute Unternehmensführung. Dabei umfasst der DCGK sowohl nationale wie auch internationale Standards und gesetzliche Anforderungen. Die zuständige Regierungskommission überprüft jährlich, ob ihre Empfehlungen der Best Practice guter Unternehmensführung weiter entsprechen oder ob sie angepasst werden müssen. Im November 2016 wurden mehrere Änderungsvorschläge veröffentlicht: Die Regierungskommission spricht sich darin ausdrücklich für den Einsatz von Hinweisgebersystemen im Rahmen eines unternehmensweiten Compliance Management Systems (CMS) aus. Damit reagiert die Kommission auf die Tatsache, dass Hinweisgebersysteme eines der effektivsten Instrumente für die Prävention und Aufklärung von Korruption und Missständen sind.

Seit Januar 2017 müssen insbesondere börsennotierte Unternehmen mit mehr als 500 Mitarbeitern in ihren Lage- und Konzernlageberichten auch nichtfinanzielle Auskünfte anführen. Damit sind Unternehmen erstmals in der Pflicht, Maßnahmen und Umsetzung von „Softfacts“ in ihre Berichterstattung mit aufzunehmen: Relevant sind zum Beispiel auch Arbeitnehmer-, Sozial- und Umweltbelange und Konzepte zur Korruptionsbekämpfung. Unternehmen, die gegen die Vorgaben verstoßen, müssen mit Strafgeldzahlungen bis zu zehn Millionen Euro beziehungsweise fünf Prozent des jährlichen Gesamtumsatzes der Kapitalgesellschaft rechnen. Experten empfehlen Verantwortlichen, sich im Rahmen der Nachhaltigkeitsberichterstattung an den Leitlinien der Global Reporting Initiative (GRI) zu orientieren.

Mit Blick auf die EU-Datenschutzgrundverordnung (EU-DSGVO) müssen Unternehmen ihre bestehenden Prozesse überprüfen und bei Bedarf nachrüsten. Ab dem Stichtag am 25. Mai 2018 müssen alle Dokumente und Prozesse an die neue Verordnung angepasst sein. Bei Datenschutzverletzungen drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Firmenumsatzes. Das stellt die Datenschutzbehörden auf eine ähnliche Stufe wie die Wettbewerbsbehörden. Die Verantwortlichen in den Bereichen IT-Sicherheit und Datenschutz sind angehalten, ihre Strukturen deshalb frühzeitig anzupassen.

Die im Juli 2016 veröffentlichte Richtlinie des EU-Datenschutzbeauftragten soll EU- Einrichtungen den Umgang mit internen und externen Hinweisgebern erleichtern. Der sicherste Weg, Mitarbeiter zu ermutigen, beobachtete Missstände und Risiken aufzuzeigen, besteht darin, ihnen Vertraulichkeit zuzusichern und ihre Identität umfassend zu schützen. Organe und Einrichtungen der Europäischen Union sind deshalb angehalten, datenschutzrechtlich sichere Kanäle für die Meldung von Risiken und Betrugsfällen einzurichten. Es ist zu beachten, auditierbare und zertifizierte Systeme einzusetzen, deren Technik einer unabhängigen Prüfung standhält.

In einem weitreichenden Urteil entschied das Landgericht Bochum, dass zwischen Ombudsleuten und Hinweisgebern kein „mandatsähnliches“ Verhältnis bestehe. Hinweise, die auf der Prämisse der Zusicherung von Anonymität erfolgten, sind somit nicht länger vor einem Zugriff der Strafverfolgungsbehörden geschützt. Die Begründung: In dem betreffenden Fall sei die Ombudsfrau durch das Unternehmen beauftragt worden, zwischen dem Hinweisgeber und der Ombudsfrau bestehe jedoch keine direkte Mandatsbeziehung. Potentielle Hinweisgeber können zukünftig nicht länger auf die zuvor garantierte Anonymität vertrauen. Die Kombination der Nutzung eines sicheren und zertifizierten Hinweisgebersystems mit einem Ombudsmann kann hier unterstützend und werthaltig sein.

Hinweisgebersysteme sind ein wertvolles Instrument zur Risikoreduzierung und Minimierung von Haftungsrisiken. Als webbasierte Anwendung sind sie flexibel einsetzbar, ermöglichen eine zeit- und ortsunabhängige Meldung und können in jeder beliebigen Sprache aufgesetzt werden. Wichtig ist die Wahl des richtigen Hinweisgebersystems: Es sollte zertifiziert und auditierbar sein, sodass es auch zukünftigen normativen, sicherheits- und datenschutzrechtlichen Anforderungen gerecht wird. Die Arbeit mit personen- und meldungsbezogenen Daten setzt voraus, dass bei Bedarf die Anonymität des Hinweisgebers sichergestellt werden kann. Dazu verlangt es einer autarken Anwendung und spezielle Verschlüsselungsverfahren. Eine Postkasten-Funktion ermöglicht den vertraulichen Austausch zwischen Hinweisgeber und Bearbeiter. Eine schwerpunktbasierte, speziell zugeschnittene Gestaltung des Prozesses unterbindet zudem denunziatorisch motiviertes oder unkontrolliertes Melden zu unerwünschten Themen. Hinweisgebersysteme schaffen zudem positive Folgeeffekte: Sie strahlen Offenheit, Transparenz und eine fortschrittliche Unternehmenskultur aus. So wird nachhaltige Sicherheit gelebt – auch über rechtliche Vorgaben hinaus. Die sorgfältige Auswahl eines Hinweisgebersystems ist dabei ausschlaggebend für das Vertrauen der Mitarbeiter gegenüber dem Unternehmen. Es muss jeder technischen Überprüfung standhalten, sodass auch bei einer brisanten Meldung die technische Anonymität gewahrt bleibt. Ein auf die unternehmensinternen Bedürfnisse zugeschnittenes Hinweisgebersystem, sinnvoll verzahnt mit anderen Tools eines Compliance-Management-Systems (CMS) und eingebettet in eine authentische Compliance-Kultur, kann Risiken nachweislich reduzieren.