Hinweisgebersysteme 

Die EU-Hinweisgeberschutz-Richtlinie, die bis Ende des Jahres 2021 durch nationales Recht umgesetzt werden muss, sieht vor, dass öffentliche und private Organisationen ab 250 (*) Beschäftigten über ein Hinweisgebersystem verfügen müssen.
Ein Hinweisgebersystem dient dazu, dass Beschäftigte oder auch externe Personen Hinweise auf Fehlverhalten in der Organisation abgeben können. Dies kann anonym oder nicht-anonym geschehen. Mündlich und/oder schriftlich. Persönlich, postalisch, telefonisch und/oder mittels webbasierter Lösung. Erforderlich sind jedenfalls geeignete Meldekanäle, eine unparteiische interne Meldestelle und Verfahren, um Vertraulichkeit sicherzustellen und die Umsetzung angemessener Folgemaßnahmen zu gewährleisten.

(*) Ab Ende 2023 gilt diese Verpflichtung bereits für Organisationen ab 50 Beschäftigten.

Compliance-Management 

Compliance-Management ist die strukturierte Identifikation von Verpflichtungen, die Definition und Dokumentation angemessener Maßnahmen und deren systematische Übersetzung in den Alltag der Organisation und der Beschäftigten. Ein Compliance-Managementsystem (CMS) umfasst daher die Summe aller Maßnahmen zur Vorbeugung, Aufdeckung und Bearbeitung von Fehlverhalten. Ein CMS sollte aber nicht nur betrieben werden, um Schaden abzuwenden, sondern auch zur Verbesserung der Unternehmenskultur und des operativen Betriebes. Richtig verstanden, ist Compliance Management ein strategisches Instrument der Unternehmensführung. Zusammen mit einer von Integrität geprägten Unternehmenskultur, trägt Compliance Management zu nachhaltigem Unternehmenserfolg bei. 

Wesentliche Elemente sind dabei beispielsweise: 

  • Analyse der Ist-Situation
  • Definition der Compliance-Ziele und des Umfangs des CMS
  • Compliance-Chancen- & Risikoanalyse
  • Festlegung eines angemessenen Compliance-Programms
  • Hinweisgebersystem und Fallbearbeitung  

Fazit

Compliance Management dient der effizienten Umsetzung der Verpflichtungen an die Organisation. Unerheblich ist dabei, ob es sich um regulatorische Bestimmungen handelt, freiwillige Selbstverpflichtungen oder Anforderungen seitens der Geschäftspartner. Ein Compliance-Managementsystem umfasst dabei Maßnahmen zur Vorbeugung, Aufdeckung und Bearbeitung von Fehlverhalten. Ein Hinweisgebersystem ist ein wichtiges Element eines CMS. 

Daher gilt: 

1. Ohne ein funktionsfähiges Hinweisgebersystem gibt es kein wirksames Compliance-Managementsystem. 

2. Ein Hinweisgebersystem liefert den größten Nutzen, wenn es in ein Compliance-Managementsystems eingebunden ist.

Unser Tipp: Nutzen Sie die Gelegenheit und etablieren Sie ein effizientes CMS, um von der Umsetzung des Hinweisgeberschutzgesetztes zu profitieren. Kommen Sie gerne auf uns zu, um zu erfahren, wie wir Sie dabei unterstützen können.

„Nur wer schützt, wird geschützt“

Seit April 2019 gilt das neue Geschäftsgeheimnisschutzgesetz (GeschGehG), dessen Ziel die Vereinheitlichung und die Erhöhung der Rechtssicherheit im Umgang mit Geschäftsgeheimnissen ist.

Im Gegensatz zu der bisherigen deutschen Definition des Geschäftsgeheimnisses ist hinsichtlich der zu schützenden Information nunmehr kein „Geheimhaltungswille“, sondern die Ergreifung „angemessener Geheimhaltungsmaßnahmen“ durch den Inhaber des Geschäftsgeheimnisses erforderlich. Das ist eine wesentliche Änderung gegenüber der bisherigen Rechtslage, weil der Schutz des Geschäftsgeheimnisses nicht aufgrund unternehmerischen Willens erreicht werden kann, sondern – im Zweifel nachweisbare – konkrete Maßnahmen zu dessen Schutz getroffen werden müssen.

Fehlen diese, gibt es auch keinen gesetzlichen Schutz gegen Zugriff.

Geheimhaltungsmaßnahmen können in verschiedensten Formen errichtet werden, wie etwa durch

  • vertragliche Maßnahmen (Vertraulichkeitsvereinbarungen),
  • organisatorische Maßnahmen (Festlegung von Verantwortlichkeiten, Schutzkonzept) und
  • technische und physische Schutzvorrichtungen (Firewall, Safe, Passwortschutz)

Bei der Umsetzung geeigneter Maßnahmen sind wir Ihnen selbstverständlich gerne behilflich!

Stephan Rheinwald im Interview mit dem „GmbH Chef“  Ausgabe Mai 2019.

Compliance wird für den Mittelstand immer wichtiger. Auch ranken sich immer noch viele Vorurteile und Unsicherheiten um das Thema. Im Interview mit gmbhchef spricht der erfahrene Compliance-Experte Stephan Rheinwald, Gründer der „Compliance Officer Services GmbH“, über effiziente Lösungen, seine Überzeugungen und das Geschäft mit der Angst.

Wie würden Sie jemandem, der noch nie etwas davon gehört hat, Compliance und ein Compliance-Management-System erklären?

Bei Compliance geht es um die Einhaltung von Recht und Gesetz (bzw. unternehmensinterner Richtlinien) in einem Unternehmen. Aufbau und Betrieb eines Compliance-Management-Systems (CMS) helfen dem Unternehmen und seinen Beschäftigten bei der Erfüllung dieser Aufgabe. Unter anderem sind Compliance-Trainings fester Bestandteil eines CMS.

Warum werden diese aus Ihrer Sicht auch für den Mittelstand immer wichtiger?

Zum einen, weil große Konzerne, in denen Compliance bereits seit Jahren fester Bestandteil des Managements ist, ein Interesse daran haben, dass auch bei ihren Zulieferern und Geschäftspartnern aus dem Mittelstand Compliance-Strukturen vorhanden sind. Zum anderen, weil sich die gesetzlichen und durch die Rechtsprechung zunehmend strenger interpretierten Organisations-, Auswahl- und Überwachungspflichten ebenso an Geschäftsführer mittelständischer GmbHs wie an Geschäftsführer oder Organe von Konzerngesellschaften richten.

Gibt es derzeit besondere Brennpunkte bzw. Bedrohungsfelder?

„Brennpunkte, Bedrohung…“. Das klingt mir zu apokalyptisch. Auch wenn viele anders agieren, ich distanziere mich vom „Geschäft mit der Angst“. Ich finde, ein Bewusstsein für Compliance sollte nicht aus einem Zwang oder gar einer Angst heraus entstehen. Compliance sollte von einer ehrlichen Überzeugung und dem Bekenntnis zu integrem Handeln getragen werden – an dem auch der Mittelstand nicht vorbeikommt.

Große Unternehmen nehmen Compliance- Risiken ernst – der Mittelstand laut Studien eher weniger. Warum unterschätzt der Mittelstand Compliance- Themen?

Compliance ist auch in großen Unternehmen häufig nicht aus einer Überzeugung, sondern erst im Zuge der Aufarbeitung großer Skandale eingeführt worden. Da die öffentliche Wahrnehmung über Compliance-Schwierigkeiten großer Unternehmen in der Regel sehr viel stärker ausgeprägt ist, fällt auch der Handlungsdruck umso höher aus. An den auch für den Mittelstand geltenden Rahmenbedingungen ändert das aber nichts.

Warum ist Compliance so wichtig – insbesondere für GmbHs und KMUs?

Ich versuche meinen Kunden immer vor Augen zu führen, dass sie Jahre, häufig sogar Jahrzehnte investiert haben, um den guten Ruf ihrer Firma, ihrer Produkte oder ihrer Dienstleistungen aufzubauen. Um den guten Ruf zu beschädigen oder sogar irreparabel zu zerstören, sind dagegen oft genug nur wenige Momente und falsche Entscheidungen erforderlich. Und genau das gilt es zu verhindern, oder zumindest die Risiken und Konsequenzen zu mindern. Und dabei geht es mir nicht um das eingangs erwähnte „Geschäft mit der Angst“, sondern um nüchterne Fakten. Nehmen Sie zu Illustrationszwecken ein besonders eingängiges Beispiel: der Dieselmotor und dessen Abgasmanipulation. Niemand wird ernsthaft bestreiten, dass die moderne Dieseltechnologie zu den wichtigsten Antriebstechnologien zählte und weiterhin zählt, um die zumindest mittelfristigen Klimaziele zu erreichen. Die deutsche Automobilindustrie hat sich auch und gerade bezüglich der Diesel-Technologie in den vergangenen Jahrzehnten einen exzellenten Ruf erarbeitet. Die Machenschaften – mutmaßlich weniger Manager und Ingenieure – haben diese an und für sich unverzichtbare Motorentechnologie an den Rand des Abgrunds geführt. Diese Mechanismen gelten für Konzerngesellschaften ebenso wie für KMUs.

Gibt es besonders gefährdete Branchen?

Natürlich gibt es Statistiken und Studien, die bestimmten Branchen besonders hohe Compliance-Risiken attestieren. Grundsätzlich bin ich aber kein Anhänger davon, bestimmte Unternehmen schon allein aufgrund ihrer Branchenzugehörigkeit unter eine Art von Generalverdacht zu stellen. Am Ende des Tages hat jedes Unternehmen, das geschäftlich am Markt auftritt » Interview  Compliance wird für den Mittelstand immer wichtiger. Auch ranken sich immer noch viele Vorurteile und Unsicherheiten um das Thema. Im Interview mit gmbhchef spricht der erfahrene Compliance-Experte Stephan Rheinwald, Gründer der „Compliance Officer Services GmbH“, über effiziente Lösungen, seine Überzeugungen und das Geschäft mit der Angst. Haftungsrisiken rund um die GmbH Korruptions- und Kartellrisiken, die es zu minimieren gilt.

Zugespitzt gefragt: Agiert eine GmbH ohne CMS fahrlässig?

Sie handelt zumindest dann fahrlässig, wenn sie – wie man in Köln sagt – nach dem Motto verfährt „Et hätt noch immer jot jejange“. Ob in allen Situationen immer ein formales CMS erforderlich ist, sei dahingestellt. Häufig sind bereits wenige, effiziente Maßnahmen ausreichend, um einen vernünftigen organisatorischen Rahmen zu setzen und Risiken zu minimieren.

Ist Compliance nur Chefsache?

Um eine alte Redewendung zu bemühen: „Der Fisch stinkt bekanntlich vom Kopf her…“. Sprich: Ohne eine aufrichtige Compliance-Haltung der Geschäftsführung geht es nicht! Mit diesem Element eines CMS ist gemeint, dass die Führung eines Unternehmens die Beschäftigten nicht nur regelmäßig an Compliance erinnert, sondern auch einen entsprechenden organisatorischen Rahmen schafft bzw. Schulungen initiiert. Ebenso wichtig ist es aber, Compliance auf der Führungsebene authentisch vorzuleben. Nur so erfährt Compliance – abseits arbeitsrechtlicher Pflichten – die notwendige Akzeptanz bei den Beschäftigten des Unternehmens.

Wie kann ein GmbH-Geschäftsführer seine persönlichen Haftungsrisiken minimieren?

Der Geschäftsführer einer GmbH haftet grundsätzlich nach § 43 Abs. 2 GmbHG im Innenverhältnis für alle Schäden, die er aufgrund einer ihm obliegenden Pflicht schuldhaft verursacht. Im Rahmen der sogenannten Legalitätspflicht besteht ein Teil dieser Pflicht in der Einhaltung aller für das jeweilige Unternehmen relevanter Rechtsvorschriften. Diese Pflicht kann der Geschäftsführer einer GmbH zwar partiell in der Organisation delegieren, aber auch in diesem Fall verbleiben in seiner Person noch Auswahl, Einweisungs- und Überwachungsverpflichtungen. Die Einhaltung genau dieser Überwachungspflichten kann durch die Einrichtung eines Compliance- Systems gewährleistet werden.

Gibt es Verpflichtungen für GmbHGeschäftsführer im Zusammenhang mit Compliance? Wenn ja, wie kann ein Geschäftsführer diesen nachkommen?

Von bestimmten Branchen (z.B. Banken und Versicherungen) einmal abgesehen, bestehen derzeit (noch) keine gesetzlichen Verpflichtungen zur umfänglichen Einrichtung einer Compliance-Organisation. Allerdings haben die Geschäftsführer einer GmbH auch ohne eine dem § 91 Abs. 2 AktG entsprechende Norm die Pflicht ein Überwachungssystem einzurichten, das erlaubt, den wirtschaftlichen Stand der Gesellschaft abzufragen und Gefahren frühzeitig zu erkennen. Sie müssen das Unternehmen zudem so organisieren und beaufsichtigen, dass betriebsbezogene Gesetzesverstöße verhindert bzw. wesentlich erschwert werden (§ 130 OWiG). Durch ein vernünftiges und das Geschäftsmodell des jeweiligen Unternehmens reflektierendes CMS kann hier vieles erreicht werden. Ganz aktuell gibt es relativ weit gediehene Gesetzesinitiativen auf europäischer Ebene, die auch KMUs (ab 50 Mitarbeitern) die Verpflichtung zur Einrichtung einer internen Meldestelle für Compliance Fälle auferlegt.

Gibt es aktuelle Herausforderungen und Trends? Insbesondere im Zusammenhang mit der Digitalisierung?

Die „Digitalisierung“ ist derzeit in aller Munde und überall ein Thema. Richtig verstanden kann die Digitalisierung sicher auch im Rechts- und Compliance-Bereich gravierende Erleichterungen bringen. Dabei gilt es aus meiner Sicht jedoch zwei Dinge zu verinnerlichen. Digitalisierung darf kein Selbstzweck sein und muss Dinge in der Anwendung vereinfachen. Digitalisierung muss zum Ziel haben, den Menschen in ihrer täglichen Arbeit zu helfen und die Arbeit zu erleichtern. Viele digitale Anwendungen werden aber heute bewusst so positioniert, jedenfalls aber so wahrgenommen, dass sie den Menschen und seine Arbeit ersetzen. Ich glaube, dies ist ein gravierender Fehler, den es schnellstmöglich zu korrigieren gilt, um vielen hilfreichen digitalen Anwendungen zum Durchbruch zu verhelfen. Bei vielen Juristen und Compliance- Experten stößt ein solcher, digitaler Beratungsansatz auf Skepsis, weil er als Bedrohung der eigenen Beratungspraxis wahrgenommen wird. In Wirklichkeit ist genau das Gegenteil richtig. Mit der Lösung werden Beschäftigte im Unternehmen adressiert, die sich ansonsten gar nicht an Compliance wenden würden und die die Anonymität der Anfrage zu schätzen wissen. Darüber hinaus steht es außer Frage, dass es Sachverhalte gibt, die individuell zu besprechen sind und für die so mehr Zeit aufgebracht werden kann.

Wie lautet ihre Einschätzung zur viel diskutierten DSGVO?

Ich denke, es handelt sich um ein Gesetz, das wesentlich besser als sein Ruf ist und die richtigen Ziele verfolgt, dabei aber (zumindest soweit es die Dokumentationspflichten angeht) an der einen oder anderen Stelle über das Ziel hinausschießt. Daher glaube ich, dass das Gesetz zumindest für KMU in den nächsten Jahren noch einige Erleichterungen erfahren wird. Aus meiner persönlichen Sicht und Erfahrung kann ich sagen, dass sich auch mit der heutigen Gesetzeslage effektive Lösungen erzielen lassen.

Wäre Outsourcing von Compliance eine Möglichkeit?

Meine Antwort wird Sie sicherlich nicht überraschen: Ja! Ein Unternehmen wird immer vor der Herausforderung stehen, dass der Aufbau und die Implementierung eines CMS wesentlich zeit-, personal- und kostenintensiver ist als sein späterer Betrieb. Diese Volatilität lässt sich durch ein Outsourcing unter Einbindung interner Unternehmensressourcen deutlich besser und günstiger abbilden Dabei gilt: Ein Compliance-Outsourcing-Modell kann nur funktionieren, wenn es eine funktionierende Schnittstelle ins Unternehmen gibt und das Unternehmen wirklich „compliant“ handeln will. Der Anbieter eines Compliance-Outsourcings wird mithin nicht lediglich als „Versicherer“ fehlinterpretiert.