die bank 04 // 2015

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Rechtskonformes Hinweisgebersystem COMPLIANCE Seit Anfang 2014 müssen Kreditinstitute über ein rechtskonformes Hinweisgebersystem verfügen. Der Gesetzgeber legt den Instituten umfangreiche Regelungen auf, die zwischen Mitarbeitern, der Unternehmensführung und dem Hinweisempfänger einen anonymisierten, unabhängigen und höchstvertraulichen Kommunikationsprozess erfordern. Der folgende Beitrag demonstriert, wie ein solches System sowohl die Anforderungen des Gesetzgebers als auch die der Bank erfüllt. Bernd Schilbach Keywords: Whistleblowing, KWG, Risikomanagement Hinweisgebersysteme sind nicht unumstritten. Die Angst vor zweifelhaften oder gänzlich unwahren Anschuldigungen, die auf persönlicher Unzufriedenheit oder zwischenmenschlichen Fehden basieren, ist groß. Ob und inwieweit ein Hinweis den Tatsachen entspricht, muss deshalb gründlich geprüft werden. Bereits jetzt zeigt sich, dass Banken die Etablierung eines rechtskonformen Hinweisgebersystems sehr unterschiedlich angehen. Kleinere Institute deklarieren einen Briefkasten im Haus, für größere Banken sind andere Hilfsmittel im Einsatz. Sie benötigen für ihr Hinweisgebersystem vor allem ein Höchstmaß an Rechtssicherheit. Hemmschwelle herabsetzen Vor diesem Hintergrund werden die Anforderungen an das Risikomanagement seit Jahren stetig erhöht. So wurde am 28. August 2013 das Gesetz zur Umsetzung der Richtlinie 2013/36/EU über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen sowie zur Anpassung des Aufsichtsrechts an die EU-Verordnung Nr. 575/2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen (CRD IV-Umsetzungsgesetz) veröffentlicht. Mit der Richtlinie traten umfassende Änderungen im Kreditwesengesetz in Kraft. Eine der Vorschriften bezieht sich auf die Einrichtung eines anonymisierten Hinweisgebersystems für die Mitarbeiter von Kreditinstituten. Geregelt ist diese Anforderung im KWG § 25a Absatz (1) Satz 6. Demnach ist ein Kommunikationskanal einzurichten, der es den Mitarbeitern einer Bank anonym und damit sanktionslos erlaubt, Missstände an eine dafür eingerichtete Ombudsstelle zu melden: KWG § 25a Absatz (1) Satz 6 Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. Seine Angemessenheit und Wirksamkeit ist vom Institut regelmäßig zu überprüfen. Eine ordnungsgemäße Geschäftsorganisation umfasst darüber hinaus einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die Verordnung (EU) Nr. 575/2013 oder gegen dieses Gesetz oder gegen die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten. Somit sind neben den operativen Risiken von außen auch die von innen – durch Mitarbeiter oder Mitglieder der Organe – detaillierter definiert. Wurden noch vor einigen Jahren insbesondere die Marktpreisund Adressausfallrisiken als die entscheidenden Gefahren für die ordentliche Geschäftstätigkeit einer Bank identifiziert, so versucht der Gesetzgeber mit diesen Änderungen das Netz so engmaschig wie möglich zu stricken, um sämtliche potenziellen operativen Risiken einzuschließen. Seit dem 1. Januar 2014 müssen damit Banken und Finanzdienstleister eine Geschäftsstruktur etablieren, durch die es Mitarbeitern ermöglicht wird, Gesetzesverstöße anonym an geeignete Stellen im oder außerhalb des eigenen Unternehmens zu melden. Ein derartiges Hinweisgebersystem soll die Hemmschwelle herabsetzen, mögliche Straftaten zu melden, denn in den meisten Fällen schweigen Mitarbeiter aus falsch verstandener Loyalität gegenüber Vorgesetzten und Kollegen oder weil sie für sich selbst Repressalien befürchten. Außerdem sollen Hinweisgebersysteme eine abschreckende und damit präventive Wirkung auf Täter haben sowie bereits eine Verfolgung kleinerer Verstöße ermöglichen, da derartige Rechtsverletzungen meistens der erste Schritt hin zu umfangreicheren Straftaten sind. In den USA besteht bereits seit mehreren Jahren für börsennotierte Unternehmen die 58 diebank 4.2015

IT & KOMMUNIKATION ó Pflicht, ein Hinweisgebersystem zu installieren. In Deutschland ging man mit dem Thema sehr zögerlich um, obwohl die internationalen und nationalen Handelskammern im Kampf gegen Korruption bereits seit 2008 die Einrichtung von Hinweisgebersystemen fordern. Ein Umdenken setzte jedoch erst ein, als medienwirksame Fälle von Wirtschaftskriminalität eine breite Öffentlichkeit fanden. Die erste Reaktion des Gesetzgebers bestand in den genannten Auslegungs- und Anwendungshinweisen, die am 1. Juni 2011 in Kraft traten. Unter den Folgen der Finanzkrise wurde dann im Januar 2014 die Verpflichtung zur Einführung eines Hinweisgebersystems erlassen. Banken und Finanzdienstleister stehen nun vor der Wahl, ein internes oder externes Hinweisgebersystem einzuführen. Bei einem internen System werden die Informationen beispielsweise an den Compliance Officer oder eine interne Hotline weitergegeben. Selbst ein Briefkasten als anonymisierter Abgabeort kommt infrage. Im Gegensatz dazu werden Hinweise bei einem externen System an einen vom Unternehmen unabhängigen Ombudsmann oder über ein internetbasiertes Meldewesen übermittelt. Der große Vorteil eines externen Systems liegt in der Unabhängigkeit des Ombudsmanns vom Unternehmen. Er blickt unvoreingenommen von außen auf die gemeldeten Umstände. Da davon auszugehen ist, dass die Hemmschwelle für einen Whistleblower geringer ist, wenn er sich nicht an einen internen Mitarbeiter seines Arbeitgebers wenden muss, werden externe Hinweisgebersysteme bevorzugt. In der Regel bekleidet ein Anwalt die Rolle des Ombudsmanns, denn dieser ist einerseits zur Verschwiegenheit verpflichtet und kann andererseits von seinem Aussageverweigerungsrecht Gebrauch machen. Damit ist ein elementarer Punkt für das Funktionieren eines Hinweisgebersystems erfüllt: die absolute Vertraulichkeit und Anonymität des Melders. Die Integration eines Hinweisgebersystems bedeutet für Kreditinstitute eine nicht unerhebliche finanzielle Investition, insbesondere wenn ein externes System zum Beispiel mit einem vom Unternehmen unabhängigen Fachanwalt für Bank- und Kapitalrecht gewählt wird. Ein besonderer Fokus muss sowohl bei externen als auch bei internen Hinweisgebersystemen auf die Rückantwortmöglichkeit gelegt werden: Unter Umständen kann es wichtig sein, den anonymen Melder noch einmal zu kontaktieren, weil sich für den Ombudsmann aus der Meldung heraus weitere Fragen ergeben. Hier helfen elektronische Postfächer oder Portallösungen weiter, um auch im Nachgang einer Meldung den Kontakt zum Melder zu halten, ohne seine Anonymität und damit die Akzeptanz des eingesetzten Hinweisgebersystems zu gefährden. Eine derartige bidirektionale Kommunikation könnte wie folgt aussehen: Der Whistleblower meldet sich beispielweise über einen automatisierten und anonymisierten Benutzer-Login in einem Nachrichtensystem an. Nach dem Absenden seiner Nachricht erhält er eine automatische Meldung mit der Aufforderung, sich die Login-Daten zu merken und sich in 14 Tagen erneut anzumelden, falls es Rückfragen vom Ombudsmann bzw. vom Compliance Officer gibt. Die Investitionen in ein Hinweisgebersystem erhöhen sich noch einmal, wenn Kreditinstitute sicherstellen wollen, dass ihr Vorgehen im Rahmen einer Meldung mit Blick auf spätere Prüfungen rechtskonform verläuft. Dadurch reduziert das Institut jedoch die Gefahr, aufgrund von fehlerhaften Prozessen im Hinweisgebersystem strafrechtlich verfolgt oder auf Schadensersatz in Anspruch genommen zu werden. Konkret sieht der Meldevorgang im Rahmen eines Hinweisgebersystems in der Regel wie folgt aus: Unabhängig davon, ob ein Hinweis an einen internen oder externen Ombudsmann übergeben wird, hat dieser für die weitere Abarbeitung der Eingabe zu prüfen, ob die Nachricht bzw. der Hinweis stichhaltig und belastbar ist. Wenn nicht, ist eine Rückfrage an den Hinweisgeber nach detaillierteren Informationen sinnvoll. Gesetzt den Fall, dass der Hinweis stichhaltige relevante Informationen enthält, muss der Ombudsmann entscheiden, wie er mit der Umfrage weiter verfährt: 1. Meldung an BaFin: Hierbei handelt es sich um den schlimmsten anzunehmenden Fall, wenn detaillierte Beweise zu Verstößen von Verantwortungsträgern einer Bank (Vorstände bzw. Aufsichtsrat) gegen geltende Gesetze bzw. strafbare Handlungen vorliegen. 2. Meldung und Rücksprache bzw. Aussprache mit der Geschäftsleitung zu diesem Thema. Alle derartigen Vorgänge erfordern eine genaue Dokumentation durch den Ombudsmann und die Bank, um im Zweifelsfall Rechtssicherheit zu garantieren. Fazit Auf lange Sicht wird sich die Investition in das gesetzlich vorgeschriebene Hinweisgebersystem für Banken und Finanzdienstleister lohnen. Immerhin schaffen sie in ihren Unternehmen so nicht nur Rechtssicherheit, sondern auch eine offensive Kommunikation von Risiken, in der die Mitarbeiter das Gefühl erhalten, dass die Meldung eines möglichen Vergehens keine Denunzierung, sondern einen Akt der Rechtstreue darstellt. Damit reduziert sich für Kreditinstitute auch die Gefahr, dass sich die Mitarbeiter an die Öffentlichkeit wenden und, gewollt oder ungewollt, die Reputation des Unternehmens beschädigen. Nur durch einen geregelten Umgang mit Meldungen über Rechtsverstöße lässt sich im Rahmen eines Hinweisgebersystems der Schaden durch Wirtschaftskriminalität erfolgreich eindämmen. Einhergehend mit jeder Einzelfallprüfung muss ebenfalls der Wahrheitsgehalt einer Meldung unter die Lupe genommen werden, damit persönliche Denunzierungen ausgeschlossen werden können. Autor: Bernd Schilbach, Geschäftsführer, Denkende Portale GmbH. 4.2015 diebank 59