Warum müssen Whistleblower mittels einer EU-Richtlinie geschützt werden?
Die Rolle von Whistleblowern hat in den letzten Jahren zunehmend an Bedeutung gewonnen. Welche Brisanz diesem Thema zukommt, verdeutlichen vor allem medial bekanntgewordene Whistleblowing-Fälle, denn ohne die entsprechenden Meldungen wären viele Verstöße erst gar nicht bekannt geworden. Whistleblower gehen jedoch oftmals ein hohes persönliches Risiko ein, denn nicht selten drohen aufgrund des Hinweises negative Konsequenzen.
Zitat: Hinweisgeber leisten einen wertvollen Beitrag.
Durch das Aufzeigen von Straftaten werden Whistleblower ohne gesetzlichen Schutz oftmals selbst zum Straftäter. Dies zeigen Fälle wie etwa LuxLeaks im Jahr 2014. Jene Whistleblower, die damals den Finanzskandal an die Öffentlichkeit brachten, wurden in der Folge zu Haft- und Geldstrafen verurteilt. Sonstige Repressalien für Whistleblower reichen von der Kündigung des Arbeitsplatzes über die gerichtliche Verfolgung wegen Verletzung eines Geschäfts- oder Betriebsgeheimnisses bis hin zu Schadenersatzforderungen.
Gegenwärtig werden Whistleblower aber in nur zehn EU-Mitgliedsstaaten gesetzlich vollumfänglich geschützt.
Auch in Österreich werden nur bestimmte Personengruppen und Sektoren vom Schutz erfasst. Der Wunsch des Whistleblowers nach Schutz gründet vor allem in der Angst vor negativen Konsequenzen im unmittelbaren Arbeitsumfeld durch Kollegen oder den Arbeitgeber. Aufgrund dessen ließen sich potenzielle Whistleblower bis dato von der Meldungserstattung aus Furcht vor nachteiligen persönlichen und beruflichen Konsequenzen abschrecken. Ein umfassendes Verbot von Repressalien gegenüber Hinweisgebern ist daher dringend geboten.
Weiters ist für den Schutz von Whistleblowern die Zusicherung und Gewährung von Vertraulichkeit von besonderer Bedeutung. So ist auch bei Whistleblowern, die keine anonyme Meldung abgeben, sicherzustellen, dass ihre Identität geschützt wird.
Einerseits soll dies vor allem durch die Implementierung interner Whistleblowing-Systeme in Unternehmen und der öffentlichen Verwaltung erreicht werden. Der Verpflichtung, ein solches System samt angemessener Verfahren einzurichten, unterliegen künftig juristische Personen, welche mindestens 50 Arbeitnehmer beschäftigen. Des Weiteren ist die obligatorische Einrichtung von Meldesystemen auch für Gemeinden ab einer Einwohnerzahl von 10.000 vorgesehen.
Zitat: Hinweisgeber haben künftig die Wahl: Intern melden oder extern an die Behörde.
Andererseits ist der Melder effektiv zu schützen, weshalb unter anderem strenge Vertraulichkeit sicherzustellen ist. Repressalien, die auf eine Meldung zurückzuführen sind, wie beispielsweise eine Entlassung oder Herabstufung, sind untersagt. Beachtung ist hierbei der Beweislastumkehr zu Lasten des Arbeitgebers hinsichtlich des Zusammenhangs zwischen erfolgter Meldung und Repressalie zu schenken.
Der sachliche Anwendungsbereich der Richtlinie ist auf Meldungen von Verstößen gegen ausgewählte Bereiche des Unionsrechts begrenzt. Folglich fällt beispielsweise die Meldung eines Verstoßes lediglich gegen das österreichische Kartellrecht nicht in den Anwendungsbereich der Whistleblowing-Richtlinie. Hingegen sind Meldungen über Zuwiderhandlungen gegen das europäische Kartellrecht vom Anwendungsbereich umfasst. Im Rahmen der Umsetzung der Whistleblower-Richtlinie, sind die nationalen Gesetzgeber jedoch frei, den Anwendungsbereich auszudehnen.
Schutz gemäß der Richtlinie genießen nicht nur Arbeitnehmer innerhalb eines Unternehmens, sondern alle Personen, die im weiteren Sinne mit der Organisation verbunden sind. Folglich sind auch Selbständige, Freiwillige und ehemalige Mitarbeiter vom Schutz erfasst und somit vor Repressalien jeglicher Art zu bewahren. Auch Mittlern und Dritten, wie beispielsweise Lieferanten, ist effektiver Schutz zu gewähren.
Hervorzuheben ist, dass nur der redliche Melder zu schützen ist. Demnach sind Personen, die bewusst Falschmeldungen tätigen, nicht vom Schutzbereich umfasst.
Dem Whistleblower steht es offen, seinen Hinweis intern oder extern, bei der zuständigen Behörde, zu melden. In begründeten Fällen besteht auch die Möglichkeit sich durch Offenlegung an die Öffentlichkeit zu wenden.
In jedem Fall sind juristische Personen – sowohl des öffentlichen als auch des privaten Sektors – gut beraten, Meldesysteme und Verfahren zu implementieren, damit Verstöße gemeldet werden und angemessene Folgemaßnahmen ergriffen werden können.
Die gute Nachricht: Das ist auch einfach und günstig möglich.
Dänemark hat die EU-Richtlinie als erstes Land umgesetzt. Der sachliche Anwendungsbereich wurde dabei erweitert, für Konzerne mit zentralen Systemen gibt es Sonderregeln. Den Stand der Umsetzung in den einzelnen Mitgliedstaaten können Sie hier sehen.
Professionelles Compliance Management fördert die Integritätskultur und verbessert die Qualität der Arbeit.
Übersichtlich wird dargestellt, welche Elemente bereits (teilweise) implementiert sind und wo noch Verbesserungsbedarf besteht.
Auffallend ist dabei beispielsweise, dass alle geprüften Städte zwar über einen Verhaltenskodex verfügen, jedoch durchschnittlich ca. 20 % (12 % in Innsbruck bis 27,3 % in Salzburg) der Bediensteten keine Maßnahmen zur Korruptionsprävention wahrgenommenbzw. daran teilgenommen haben. Weiters mangelte es an dokumentierten Risikoanalysen und ÜberprüfungenderWirksamkeit der definierten Maßnahmen. In Innsbruck konnte überdies keine strategischeVerankerung korruptionsrelevanter Themen festgestellt werden.
Hinsichtlich der Korruptionspräventionsprogramme fällt auf, dass mancherorts keine Meldestellen/ Hinweisgebersysteme eingerichtet wurden und Korruptionsprävention kein Teil der verpflichtenden Führungskräfteausbildung und der Mitarbeitergespräche ist. Den verbesserungswürdigen Risikoanalysen könnte geschuldet sein, dass die Themenfelder Nebenbeschäftigungen, Sponsoring und Lobbying nicht ausreichend geregelt sind und spezifische Maßnahmen zur Korruptionsprävention für die korruptionsgefährdeten Bereiche Baugenehmigungen, Wohnungsvergaben, Förderungen sowie Beschaffungen nur teilweise existieren.
Fazit: Der Bericht zeigt strukturiert auf, was in geprüften Städten bereits erreicht wurde und wo noch Verbesserungsbedarf besteht. Gleichzeitig eignet sich der Bericht als praxisorientierter Leitfaden für die Implementierung und den Betrieb von Antikorruptionssystemen von Städten und Gemeinden. Bleibt zu hoffen, dass sich das Verständnis in allen österreichischen Städten und Gemeinden rasch durchsetzt, dass Compliance Management mehr ist als das Veröffentlichen eines Verhaltenskodex und das Anbieten eines E-Learning-Programms. Denn professionelles Compliance Management in Städten und Gemeinde fördert nicht nur die Integritätskultur und verbessert die Qualität der Arbeit, sondern stärkt auch das Vertrauen in die Institutionen.
Professionelles Compliance Management stärkt das Vertrauen in die Institutionen.
Beim Whistleblowing wird durch eine oder mehrere informierte Person(en) auf Missstände bzw. Gefahren hingewiesen. Das bietet die Chance, vorhandenes Wissen zu nutzen, um Risiken angemessen zu begegnen. Kennen Sie den Pfiff der Murmeltiere, wenn Gefahr droht? Ein oftmals passendes Bild.
Falls Ihnen das zu tierisch ist, gibt es zahlreiche Beispiele aus Politik und Wirtschaft, wo durch Whistleblowing noch größerer Schaden verhindert werden konnte. Allein im Kontext der Pleite der Commerzialbank Mattersburg wurden sowohl die manipulierten Bilanzen der Bank als auch fingierte Sponsoring-Verträge und wertvolle Geschenke durch Hinweisgeberinnen bzw. Hinweisgeber aufgedeckt. Jetzt fragen sich viele, wie die Malversationen so lange unentdeckt bleiben konnten. Zu Recht. Aber der Fall zeigt auch, dass Whistleblowing dazu dient, Aufmerksamt auf Fehlverhalten oder Risiken zu lenken, wenn andere (Kontroll-)Maßnahmen nicht funktionieren oder fehlen. Das gilt sowohl für private Unternehmen, Vereine, etc. als auch für den öffentlichen Sektor, wie Städte und Gemeinden, samt deren ausgegliederten Unternehmen, und auch für Behörden und Gerichte.
Der richtige Umgang mit potenziellen Hinweisgeberinnen und Hinweisgebern und deren Hinweisen ist für den Erfolg von Organisationen von entscheidender Bedeutung. Daher widmen wir diesem Thema eine Serie, die wir mit diesem Beitrag beginnen. Dabei beschäftigen wir uns ganz allgemein mit Whistleblowing-Systemen, aber auch mit Details zum Arbeitsrecht, Datenschutz und vielem mehr … und natürlich mit der EU Whistleblowing-Richtlinie.
Lassen Sie uns mit einer grundlegenden Frage beginnen:
Wozu braucht es unternehmensinterne Whistleblowing-Systeme?
Zuallererst, weil ein richtig eingeführtes Hinweisgebersystem gut für die Integritäts-Kultur im Unternehmen ist. Wenn die Beschäftigten verstanden haben, dass im Unternehmen Integrität gelebt wird, werden sie in aller Regel froh darüber sein und entsprechend handeln. Das Hinweisgebersystem ist dabei ein wichtiger Aspekt.
Weiters wirkt ein Hinweisgebersystem künftigem Fehlverhalten entgegen, weil die Wahrscheinlichkeit steigt, dass non-Compliance aufgezeigt wird.
Und natürlich können mit Hilfe eines Hinweisgebersystems Missstände einfach aufzeigt werden. Bei einem korrekt implementierten Hinweisgebersystem können sich die Whistleblower auch darauf verlassen, dass ihre Hinweise professionell bearbeitet werden und ihr Hinweis zu angemessenen Maßnahmen führt.
Die Erfahrung zeigt: Nicht jeder Hinweis endet in der Feststellung von Fehlverhalten, aber Erkenntnisse für die Verbesserung von Kontrollen, Prozessen, Schulungen etc. finden sich in der überwiegenden Zahl der Hinweise.
Ein angemessenes Hinweisgebersystem ist daher ein wertvolles Element guter Unternehmensführung.
Obige Ausführungen gelten freilich auch für andere – öffentliche und private – Organisationen. Lediglich erwähnen dürfen wir an dieser Stelle, dass manche Organisationen bzw. Unternehmen gesetzlich zum Betrieb eines Hinweisgebersystems verpflichtet sind. Auch diese Unternehmen sollten die Chancen nutzen, die Hinweisgebersysteme bieten und sich nicht darauf beschränken, die gesetzlichen Minimalanforderungen zu erfüllen.
Unternehmen implementieren Whistleblowing-Systeme, üblicherweise als Teil ihres Compliance Management Systems. Sie haben erkannt, dass interne Meldekanäle die Möglichkeit eröffnen, Missstände frühzeitig zu erkennen und zu beseitigen und Risiken besser adressieren zu können.
Dazu kommt, dass in Deutschland und Österreich immer mehr Behörden Meldekanäle einführen, die es dem Whistleblower ermöglichen, anonym Hinweise abzugeben. Die Wirtschafts- und Korruptionsstaatsanwaltschaft betreibt bereits seit vielen Jahren ein internetbasiertes Meldesystem, wie auch die Bundeswettbewerbsbehörde und die Finanzmarktaufsicht. Aber auch Medienunternehmen bieten vermehrt Kanäle an, über welche vertrauliche Hinweise auf Fehlverhalten abgegeben werden können.
Mangels unternehmensinterner Meldemöglichkeiten bleibt (potenziellen) Whistleblowern als einzige Option eine Meldung an eine Behörde oder die Öffentlichkeit. Dies kann für die betroffenen Unternehmen und die betroffenen Personen verheerende Folgen haben, nicht nur in monetärer Hinsicht, sondern auch in Bezug auf das Unternehmensimage und mögliche Strafverfahren.
Im nächsten Beitrag beschäftigen wir uns mit der EU Whistleblowing-Richtlinie und warum Whistleblower geschützt werden müssen.
Kontaktieren Sie uns gerne, wenn Sie bestimmte Aspekte beleuchtet haben möchten.
Ethics & Compliance Management wird gelegentlich falsch verstanden und unterschätzt
Missverständnis Nr. 1: Ich höre gelegentlich, dass Compliance Management doch nur etwas für multinationale Konzerne sei. Das stimmt nicht. Kaufen Sie die Lebensmittel für Ihre Familie bei einem Händler, dem Sie nicht vertrauen? Bei dem Sie vermuten, dass er sich nicht an rechtliche Vorgaben hält, unseriöse Lieferanten nutzt und die angepriesenen Waren falsch etikettiert? Wie lange wird das für ihn „gut gehen“, bis er von einem Shit-Storm in den sozialen Medien und von behördlichen Sanktionen erfasst wird?
Oder wie fühlen Sie sich bei dem Gedanken, dass es für Beschäftigte in Ordnung ist, für ein Unternehmen zu arbeiten das rechtswidrig oder unethisch agiert, wenn es zum eigenen Vorteil gereich? Eh OK oder arbeiten Sie lieber mit Menschen denen Integrität wichtig ist.
Hier sind die Antworten schnell klar. Das Thema Ethics & Compliance (E&C) ist für jede Organisation relevant. Große Unternehmen setzten längst auf eigene Compliance-Abteilungen, die sich mit dem Thema beschäftigen. (Anmerkung: Im deutschsprachigen Raum wird „Ethics“ häufig nicht ausdrücklich erwähnt jedoch als Teil von Compliance Management verstanden.)
Missverständnis Nr. 2: Wird durch Compliance Management nicht alles langsam und mühsam? Das Gegenteil ist der Fall. Gut gemachtes Compliance Management vereinfacht und beschleunigt Entscheidungsprozesse und führt zu Effizienzsteigerungen und mehr Sicherheit. Umgekehrt ist natürlich auch richtig, dass ungeeignete Strukturen und Arbeitsabläufe Fehlverhalten fördern.
Compliance schafft Vertrauen
Ein Unternehmen muss sich etablieren und einen guten Ruf pflegen, um für Kunden, Geschäftspartner, Investoren und Beschäftigte attraktiv zu sein. Dazu kann ein Compliance Management System (CMS) einen wesentlichen Beitrag leisten, denn ethisches Handeln und Rechtmäßigkeit stärken die Glaubwürdigkeit, die Basis für Vertrauen.
Compliance rechnet sich
Wer die Vorteile von E&C Management aus ökonomischer Sicht betrachtet, erkennt rasch die langfristigen Vorteile. Aber auch kurzfristig betrachtet rechnet sich ein effizientes und wirksames CMS. Weniger Reibungsverluste, weniger Missbrauch und ein wesentlich geringeres Risiko für Strafen gegen das Unternehmen oder das Management wirken unmittelbar. Ähnliches gilt für die Steigerung von Loyalität und Verbesserung der Unternehmenskultur. Überdies ergeben sich im Rahmen der Planung und Einführung eines CMS in der Regel auch nützliche Erkenntnisse für die Unternehmensentwicklung.
Was gilt es für KMU zu beachten, damit Compliance Management zum gewünschten Erfolg führt
Ethics & Compliance als strategische und gemeinsame Aufgabe verstehen
Compliance Management ist nicht Selbstzweck, sondern hat wettbewerbs-entscheidenden Charakter und dient der nachhaltigen Sicherung des Unternehmenserfolgs. Daher ist Compliance Management ein Element der strategischen Unternehmensführung.
Weiters ist Compliance Management ist DIE Querschnittsmaterie schlechthin. Ein Thema, das alle Beschäftigten betrifft. Natürlich nicht jede und jeden im gleichen Umfang, weshalb auch zielgruppengerechtes Vorgehen wichtig ist. Für die Beschäftigten im Vertrieb sind anderen Risiken relevant als für die Beschäftigen in der Entwicklung, der Produktion oder in Finance. Damit ist klar, dass Compliance Management kein Thema ist, das man zwingend an Juristen delegiert, weil die haben ja gelernt mit Rechtsvorschriften zu arbeiten. Das ist zwar richtig, aber Compliance Management ist wesentlich mehr als die Kenntnis von Gesetzen und es gilt unbedingt zu vermeiden das Thema Compliance zu einer rein fachspezifischen Aufgabe zu machen, um das sich die Expertin / der Experte im Alleingang kümmern soll. Natürlich braucht das Thema einen „Kümmerer“, aber es geht weniger um das Arbeiten mit Gesetzestexten als das Arbeiten mit der gesamten Organisation und den externen Stakeholdern. Denken Sie daran, wenn Sie einen (Ethics &) Compliance-Beauftragten nominieren.
Compliance liegt einerseits in der Gesamtverantwortung der Geschäftsleitung, die verantwortlich ist, das Unternehmen so zu organisieren, dass sämtliche Rechtsvorschriften eingehalten werden, muss aber gleichzeitig als gemeinsame Verantwortung aller Beschäftigten verstanden werden, um erfolgreich zu sein. Das ist ein wesentlicher Punkt für Ihr Compliance Management, insbesondere für die Kommunikation. Das Management muss deutlich zeigen, dass moralisch und rechtlich einwandfreies Verhalten seitens des Managements gelebt und gefördert sowievon allen Beschäftigten gefordert wird.
Chancen- und risikoorientiert vorgehen
Am Beginn der Planungen für ein CMS sollten die Definition der Ziele des CMS sowie die Analyse von Chancen und Risiken stehen. Im Team sollte ermittelt werden, welche Chancen und Risiken im Rahmen des CMS gemanagt werden. Dabei werden manche Chancen, die sich durch gezielte Ethics und Compliance-Maßnahmen ergeben, mitunter übersehen. Etwa die Erschließung neuer Kundensegmente oder neuer Möglichkeiten in der Kommunikation. Zu den in KMU häufig noch nicht ausreichend gemanagt Risken zählen beispielsweise Interessenkonflikte, Betrugsbekämpfung, Vertraulichkeit / Geheimnisschutz, Anti-Korruption / Zuwendungen, Kartell- / Wettbewerbsrecht, Geldwäscheprävention, Geschäftspartner-Compliance oder der richtige Umgang mit non-Compliance. Das Thema Datenschutz ist seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in vielen Unternehmen formal gecovert, in der gelebten Praxis gibt es allerdings gelegentlich noch Handlungsbedarf.
Nachdem der Umfang des CMS definiert wurde erfolgt die Priorisierung. Relevante Faktoren sind z.B.
Größe und Struktur des Unternehmens
Branche / Geschäftsgegenstand
Länderrisiken
Fälle von non-Compliance in der Branche bzw. im Unternehmen selbst
Erwartungen / Forderungen der Stakeholder
Ethics & Compliance-Organisation
Auf den Ergebnissen der Chancen- und Risikoanalyse basierend sollte die Compliance-Organisation eingerichtet werden. Achten Sie dabei darauf bestehende Strukturen bestmöglich zu nutzen. Besonders für KMU gilt: Keep it simple!
Häufig empfiehlt es sich, in besonders relevanten Abteilungen / Bereichen, persönlich und fachlich geeignete Ansprechpersonen als ersten Ansprechpartner für Ethics & Compliance Fragen zu nominieren; einerseits für die Beschäftigten des Bereiches und andererseits für den Compliance-Beauftragten. Damit sind kurze Wege in alle Richtungen sichergestellt.
Ethics & Compliance-Programm
Das Ethics & Compliance-Programm ist die Summe aller Maßnahmen zur Förderung von Ethics & Compliance im Unternehmen und leitet sich ebenfalls aus der Chancen- und Risikoanalyse ab. Darin wird konkret festgelegt: WER macht WAS bis WANN.
Das Ethics & Compliance-Programm ist höchst individuell und hängt neben den Chancen und Risiken wesentlich vom Reifegrad des CMS ab. Am Anfang wird die Beschreibung der Compliance-Organisation sowie die Gestaltung und Kommunikation eines Verhaltenskodex sowie wesentlicher interner Richtlinien und Prozesse stehen. Danach folgt häufig die Planung und Ausrollung grundlegender Maßnahmen für das Geschäftspartner-Management.
Aufmerksamkeit muss man sich verdienen. Das gilt auch für die Kommunikation im Unternehmen. Achten Sie daher stets auf zielgruppengerechte Kommunikation. Es kann eine echte Herausforderung sein, die Beschäftigten trotz ihrer vielen Aufgaben und der Flut an Informationen zu erreichen. Ihre Kommunikationsmaßnahmen sollten daher die persönliche Betroffenheit aufzeigen, kurz, klar und einprägsam (am besten emotional) sein. Nach der initialen – breit angelegten – Kommunikation gilt es sicherzustellen, dass die geltenden Regeln für alle Beschäftigten jederzeit verständlich und einfach zugänglich sind. Dazu eignen sich digitale Lösungen, wie der inecos Compliance Guide.
Wenn Sie die Basics eines CMS implementiert haben, haben Sie bereits großen Nutzen geschaffen.In den folgenden Jahren können Sie sich der laufenden Verbesserung von Effizienz und Effektivität widmen. Beispielsweise im Zusammenhang mit Compliance-Maßnahmen in der Personalpolitik, besseren Kontrollen zur Betrugsprävention oder Ethics & Compliance KPIs für aussagekräftiges Management Reporting. Ethics & Compliance Management ist kein Sprint, sondern ein Dauerlauf, für die langfristige Gesundheit des Unternehmens, der Beschäftigten und der Geschäftspartner.
Erfolg hat drei Buchstaben: TUN
Auch für Ethics & Compliance Management gilt: Einfach starten. Und zwar im doppelten Sinne. Erstens: Verabsäumen Sie notwendige und nützliche Maßnahmen nicht; zweitens: Keep it simple. Kaufen Sie nicht die schicksten Tools am Markt, bevor Sie ausreichend Erfahrung gesammelt haben, was für Ihre Situation am besten geeignet ist.
Conclusio
Ethics & Compliance Management ist ein Element der strategischen Unternehmensführung zur Sicherung des langfristigen Erfolgs.
Aufgrund der Organisations- und Überwachungspflichten liegt es im Interesse der Geschäftsleitung ein Compliance Management System einzurichten, um Strafen für das Unternehmen und persönliche Haftung zu vermeiden.
Ein CMS kann einen wesentlichen Beitrag zur Steigerung der Attraktivität und der Effizienz des Unternehmens leisten.
Wenn man mit Ethics & Compliance Management rechtzeitig beginnt und sachkundig vorgeht, rechnet sich ein CMS von Anfang an. Ist man aufgrund von entdeckter non-Compliance gezwungen rasch fehlende Maßnahmen nachzuholen, endet es in der Regel teuer und überschießend.
So groß der Nutzen eines angemessenen CMS für Unternehmen ist, so vielfältig sind die Möglichkeiten sich zu verzetteln oder ineffizient zu handeln. Compliance Management ist keine „Rocket Science“, aber aufgrund der Komplexität und unterschiedlichen Herausforderungen – vom initialen Risk Assessment über die rechtssichere und verständliche Formulierung der relevanten Regeln bis zur angemessenen Kommunikation und Dokumentation – ist Erfahrung in der Planung, Implementierung und im Betrieb extrem hilfreich. Mit unseren Best Practice-Lösungen können wir für rasche und angemessene Implementierung sorgen. Greifen Sie gerne auf unsere Erfahrung zurück.
Durch die stetig steigenden Anforderungen und den Kostendruck sowie die arbeitsrechtlichen Rahmenbedingungen kann es für Unternehmen auch sinnvoll sein einen externen Compliance Officer bzw. Integritäts-Beauftragten zu benennen. Der unterschiedliche Ressourcenbedarf zwischen der Planungs- / Implementierungsphase und dem geringeren Aufwand beim späteren Betrieb des CMS wird von uns abgefangen. Kontaktieren Sie uns, wenn Sie klären möchten, ob Outsourcing von Ethics & Compliance Management für Sie und Ihr Unternehmen das Richtige ist.
Warum entscheiden sich Organisationen interne Richtlinien zu verfassen, die dann noch kommuniziert, regelmäßig evaluiert und gegebenenfalls überarbeitet werden müssen?
Das hat mehrere gute Gründe. Eine Antwort sollte lauten: „Wir wollen es den Beschäftigten so einfach wie möglich machen, sich richtig zu verhalten.“ Dazu können interne Richtlinien tatsächlich einen wesentlichen Beitrag leisten. Beispielsweise sind rechtliche Vorgaben vielfach für Laien schwer verständlich oder selbst für Experten unklar. Wie oft haben wir etwa im Zuge der Umsetzung der EU-DSGVO vom Gesetzgeber auf konkrete Fragen die Antwort bekommen: „Das müssen die Gerichte klären.“
Das ist freilich keine zufriedenstellende Antwort, aber die Organisationen mussten und müssen einen Weg finden, damit umzugehen. So einfach wie es sich der Gesetzgeber manchmal macht, so einfach ist das für die Normunterworfenen nicht. Die betroffenen Organisationen müssen Entscheidungen treffen und den Beschäftigten klare Antworten geben, wie sie ihre Aufgaben erledigen sollen.
Ein anderes Beispiel sind die Regeln zu Verhinderung von Korruption. Welche Einladungen und Geschenke sind zulässig? Wie gehen wir mit Sponsoring und Spenden um? Der Verweis auf die Rechtslage hilft den Beschäftigten nicht weiter. Ähnliches gilt für das Wettbewerbs-/ Kartellrecht.
Organisationen sind daher gut beraten, durch wohl überlegte interne Richtlinien einfache und klare Regeln festzulegen und zu kommunizieren, um einheitliches Verhalten, Sicherheit für die Beschäftigten sowie die Organisation und schließlich Effizienz zu erreichen. Denn es ist äußerst ineffizient, wenn häufig dieselben Fragen gestellt und die passenden Antworten (zusammen)gesucht werden müssen.
Ein weiterer Aspekt, der für verbindliche interne Richtlinien spricht, ist die Möglichkeit die Reputation der Organisation zu pflegen. In Summe konstituieren und prägen die Organisationsvorgaben den sogenannten Corporate Conduct. Aus der Summe aller Handlungen entsteht das außerhalb der Organisation wahrnehmbare Corporate Behaviour, das Teil der Corporate Identity ist. Ein wertvolles Gut.
Für welche Themen sollte es interne Richtlinie geben?
Einem risikoorientierten Ansatz folgend, empfiehlt es sich mit jenen Risiken zu beginnen, die den größten Schadenserwartungswert aufweisen. Wer häufig mit Amtsträgern verhandelt und in einer Branche tätig ist die mit Zuwendungen grundsätzlich großzügig ist, sollte seinen Beschäftigten diesbezüglich klare Regeln zur Verfügung stellen. Wer gegenüber seinen wichtigsten Kunden die Einhaltung von Umweltschutzstandards zugesichert hat, ist gut beraten die Einhaltung dieser Vorschriften sicherzustellen. Welche Themen mit welcher Priorität behandelt werden müssen sollte im Rahmen eines Compliance Risk Assessments ermittelt werden.
Empfehlungen für die Erstellung von Richtlinien
Wenn Sie sich mit der Erstellung von internen Richtlinien für Ihre Organisation befassen, darf ich davon ausgehen, dass Sie bereits einen Verhaltenskodex haben oder zumindest gerade daran arbeiten. Dazu darf ich auf den hervorragenden Artikel „Schritt für Schritt zum „perfekten“ Verhaltenskodex“ von Jacqueline Mlinarcsik in Compliance Praxis 2019, 20 (Heft 3) verweisen.
Anders als im Verhaltenskodex sollten in einer Richtlinie nicht unterschiedlichste Themenfelder angesprochen werden. Vielmehr sollten in separaten Richtlinien konkrete Antworten auf Fragen zu einzelnen Risikofeldern zu finden sein.
Richtlinien müssen sich an den Werten der Organisation und am Verhaltenskodex orientieren.
Alle Richtlinien sollten dem gleichen Aufbau folgen.
Eingangs sollten der Geltungsbereich, der Regelungsgegenstand und die Zielsetzung der Richtlinie kurz beschrieben sein.
Für Länge und Inhalte gilt: So viel wie nötig, so wenig wie möglich. Umfassende Dokumente mögen zwar auf den ersten Blick Staunen verursachen, sind aber selten zielführend.
Nehmen Sie sich Zeit, die Inhalte gut zu strukturieren.
Verwenden Sie einfache und klare Sprache, damit die Beschäftigten rasch wissen, wie sie sich verhalten sollen. An Rechtstexten angelehnte „Cover-my-Ass“-Passagen sollten vermieden werden, weil sie den Beschäftigten nicht nützen und im worst case die Glaubwürdigkeit der Compliance-Bemühungen in Zweifel ziehen. Auch Verweise auf Gesetzestexte sollten in der Regel vermieden werden. Die Richtlinie dient ja dazu, die relevanten Inhalte aus den Rechtsvorschriften in den Kontext der eigenen Organisation zu übersetzen.
Formulieren Sie so oft als möglich positiv und lösungsorientiert. So, dass den Beschäftigten aufgezeigt wird unter welchen Voraussetzungen konkrete Handlungen möglich sind. Ein echter Mehrwert gegenüber Rechtstexten.
Für die eigene Organisation passende Beispiele können genutzt werden, um die Regelungen zu illustrieren und die Relevanz aufzuzeigen. Wenn Ihnen kein passendes Beispiel einfällt, sollten Sie den Inhalt der Regel nochmal überdenken.
Anders als im Verhaltenskodex, sollten Sie in Richtlinien mit Bildern zurückhaltend sein. Verwenden Sie Bilder, wenn Sie zum Verständnis beitragen oder dabei helfen die Inhalte der Richtlinie einzuprägen. Beispielsweise ein 100,– Euro-Schein, um die Wertgrenze für Zuwendungen zu veranschaulichen.
Am Ende der Richtlinie sollten die nötigen Begriffserklärungen angeführt sein.
Unverzichtbar sind außerdem eine eindeutige Bezeichnung der Richtlinien, die Nennung des Herausgebers bzw. Richtlinenverantwortlichen, Stand bzw. Version, Änderungshistorie und Verweis auf Bezug habende Dokumente.
Use Cases bilden die Probe aufs Exempel
Use Cases sind Modellfragen, die Sie nutzen können, um die Qualität Ihrer Richtlinien zu testen. Verwenden Sie konkrete Fragen Ihrer Beschäftigen und prüfen Sie, ob Sie rasch zur richtigen Antwort kommen. Falls nicht, sollten Sie nochmal gemeinsam mit den Beschäftigten am Inhalt der Richtline arbeiten.
Hier ein Beispiel eines Use Cases im inecos Compliance Guide, abgeleitet aus der Richtlinie zur Vermeidung von Korruption und Lösung von Interessenkonflikten:
Beispiel eines Use Cases aus dem inecos Compliance Guide.Praxisbeispiel und Ergänzungen zum Use Case
Im Jahr 2020 sind Unternehmen nahezu jeder Branche einem Spannungsfeld ausgesetzt: Während die Anforderungen seitens des Gesetzgebers aber auch von Kunden, Investoren und anderen Stakeholdern zunehmen, steigt der Wettbewerbsdruck und zwingt Unternehmen noch effizienter zu werden. Damit stellt sich für Unternehmen die Frage, wie sie den gestiegenen rechtlichen und gesellschaftlichen Anforderungen gerecht werden können, ohne dass die Kosten aus dem Ruder laufen. Effizientes, risikoorientiertes Compliance Management kann einen wertvollen Beitrag leisten.
Für viele Unternehmen ist Ethics & Compliance Management längst zum Business Enabler geworden. Kunden verlangen von Händlern und Herstellern rechtlich einwandfreies Verhalten. Angefangen beim Abfallrecht, über den allgegenwärtigen Datenschutz, das Wettbewerbsrecht bis zum Zoll. Und auch die moralischen Ansprüche gegenüber Unternehmen – wie auch anderen Organisationen, beispielsweise NPOs – steigen. Engagement für Diversity, Menschenrechte, Umwelt- und Klimaschutz etc. sind zum Erfolgsfaktor geworden.
Gut gemachtes Ethics & Compliance Management nützt jeder Organisation, weil interne und externe Stakeholder Integrität zu schätzen wissen und gleichzeitig Risiken reduziert sowie Effizienzpotentiale gehoben werden.
Compliance Management ist keine Rocket Science, aber es hilft, wenn man weiß wo die größten Herausforderungen liegen und was die Erfolgsfaktoren für effizientes und wirksames Ethics & Compliance Management sind.
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktionale Cookies
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.