Weihnachten kommt schneller als man denkt. Zukünftig nämlich müssen Unternehmen Menschen, die auf Missstände hinweisen, besser schützen. Dazu hat die Europäische Union (EU) eine Richtlinie erlassen, die seit Dezember 2019 in Kraft ist. Innerhalb von zwei Jahren muss diese EU-Richtlinie von den Mitgliedsstaaten in nationales Recht umgesetzt werden, die Whistleblower besser schützen will. Doch was hat die Finanzbranche damit zu tun?
Die Regelung gilt branchenübergreifend
Die Frist läuft eine Woche vor Heiligabend, am 17. Dezember 2021, ab. Ob das deutsche Gesetz rechtzeitig kommt, ist allerdings unwahrscheinlich. Nichtsdestotrotz müssen Unternehmen handeln: Die Richtlinie gilt branchenübergreifend, für Fintechs genauso wie für Zahlungsdienstleister, für Bankinstitute wie für Online-Händler. Entscheidend ist allein die Größe des Betriebs: Die neue Regelung richtet sich an Firmen mit mehr als 50 Beschäftigten sowie an Behörden und Kommunen mit mehr als 1.000 Einwohnerinnen und Einwohnern. Umfasst sind Verstöße gegen EU-Recht in Bereichen wie etwa Verbraucherschutz, öffentliches Auftragswesen, Finanzdienstleistungen, Finanzprodukte und Geldwäschebekämpfung.
Einrichtung von Meldekanälen
Und auch, wenn die Umsetzung auf nationaler Ebene noch aussteht, ergeben sich aus der Richtlinie die nötigen Handlungsschritte. Sie verpflichtet etwa dazu, Meldekanäle einzurichten. Das können softwaregestützte Programme, Telefon-Hotlines oder konkrete Ansprechpartner wie Ombudsleute sein. In vielen Konzernen sind bereits IT-Systeme in Betrieb. Sie können über die firmeneigene Webseite oder das Intranet angesteuert werden und funktionieren wie ein elektronisches Postfach. Wem „im beruflichen Kontext“ auffällt, dass in seinem Betrieb oder seiner Dienststelle etwas nicht mit rechten Dingen zugeht, der kann über die Meldesoftware eine Nachricht abgeben, Dokumente hochladen und Nachfragen beantworten.
Informationen sollen Schaden abwenden
Das klingt zunächst nach Arbeit für Arbeitgeber im privaten und öffentlichen Sektor. Doch die EU erhofft sich von der EU-Richtlinie einen großen Nutzen: Menschen, die auf Missstände hinweisen (im Englischen: Whistleblower) mögen zwar unbequem sein, aber ihre Informationen verhindern Schäden für die Allgemeinheit, für den fairen Wettbewerb auf dem freien Markt und für das einzelne Unternehmen, das andernfalls in Existenznot geraten könnte. Welcher Schaden wäre etwa den Aktionären von Wirecard erspart geblieben, wenn viel früher bekannt geworden wäre, wie falsch die Bilanzen des Finanzdienstleisters waren?
Skandale in der Finanzindustrie
Die EU hatte gerade im Finanzsektor schon nach der Finanzkrise 2008/2009 reagiert. Sie hatte den Hinweisgeberschutz verstärkt und den Aufsichtsrahmen für Kreditinstitute und Wertpapierfirmen angepasst. Nun reagiert sie auf vergangene Skandale wie Lux-Leaks oder Panama-Papers. In jenen Fällen spielten Whistleblower eine entscheidende Rolle, waren aber teils heftigen Repressalien ausgesetzt. Nur zehn der 27 Mitgliedsstaaten haben überhaupt Gesetze, die Hinweisgeber umfassend schützen. Deutschland gehört nicht dazu. Hier wird meist vor dem Arbeitsgericht geklärt, ob ein Beschäftigter seinen Brötchengeber anzeigen durfte oder nicht. Der Whistleblower ist dann in der Regel schon seinen Job los, als Denunziant verschrien und existenziell unter Druck.
Angst vor Missbrauch der Meldekanäle
Die neue Richtlinie soll das verhindern. Wer einen Missstand meldet, darf nicht entlassen, degradiert, eingeschüchtert, schlechter beurteilt oder in anderer Weise angegriffen werden – vorausgesetzt natürlich, er handelt in gutem Glauben und meldet nicht vorsätzlich etwas Falsches. Genau davor haben Unternehmen aber meist Angst: dass Meldekanäle missbraucht werden und dass überhaupt zu viele und sinnlose Meldungen eingehen, deren Bearbeitung den Betrieb lähmt. Die bisherigen Erfahrungen aus der Wirtschaft, aber auch von Ermittlern und Kriminologen, zeigen aber, dass das nicht zutrifft.
So wirklich neu sind Hinweisgeberkanäle ohnehin nicht. Gerade international agierende Unternehmen setzen seit langem auf IT-gestützte Meldesysteme. Für viele ist das eine Frage der Integrität, aber auch einer einfachen Erkenntnis geschuldet: Man kann nur Missstände abschaffen und Schäden abwenden, von denen man weiß. Zudem gibt es auf dem Markt einige Anbieter von Hinweisgebersystemen, die sich auf die neuen Regelungen längst eingestellt haben. Sie bieten auch weniger aufwändige Programme für kleine und mittlere Unternehmen, die keine Compliance- oder Rechtsabteilung haben und nur einen kleinen Personalbereich.
Unternehmen fürchten Imageverlust
Die wirkliche Aufgabe von Geschäftsführung und mittlerer Führungsebene wird daher eine andere sein: nämlich eine Organisationskultur zu schaffen, in der Mitarbeiterinnen und Mitarbeiter den Mut haben, Fehler und Missstände aufzuzeigen. Nicht ohne Grund fürchten Unternehmen, dass ihr Image angekratzt wird, wenn Verfehlungen nach außen dringen. Und die EU-Richtlinie ermöglicht Whistleblowern, dass sie sowohl intern als auch extern melden können. Tritt letzteres ein, etwa weil der Hinweisgeber sich nicht ernst genommen fühlt, wird es schwierig, das Problem innerhalb des Betriebs und ohne Aufsehen zu lösen. Unternehmen haben es also selbst in der Hand, sich dieses Vertrauen zu erarbeiten.
Mit den Meldekanälen ist es dabei nicht getan. Die Direktive schreibt auch vor, wie schnell Whistleblower eine Eingangsbestätigung bekommen müssen und wie der gesamte Meldeprozess, auch bei mündlichen und telefonischen Hinweisen dokumentiert werden muss. Die Identität des Hinweisgebers und der Inhalt seiner Meldung sind dabei vertraulich zu behandeln. Zudem müssen die Mitgliedsstaaten Sanktionen festlegen: sowohl für Akteure, die Meldungen verhindern und Hinweisgebern schaden, als auch für Menschen, die wissentlich falsche Informationen streuen.
Umsetzung noch völlig offen
Noch offen ist aber, wie die deutsche Umsetzung aussehen wird. Bundesjustizministerin Christine Lambrecht (SPD) plant, dass der Schutz für Whistleblower auch dann gelten soll, wenn sie Verstöße gegen deutsche Strafgesetze anzeigen. Alles andere sei eine Schmalspurlösung: „Sonst wäre geschützt, wer einen Verstoß gegen europäische Datenschutzvorschriften meldet, aber nicht geschützt, wer auf Schmiergeldzahlungen, Steuerhinterziehung oder auf Verstöße gegen deutsche Umweltschutz- oder Arbeitsschutzbestimmungen hinweist“, so Lambrecht.
Die Ministerin hatte Ende 2020 einen Referentenentwurf für das neue Hinweisgeberschutzgesetz, kurz: HinSchG, vorgelegt. Darin vorgesehen war auch eine Übergangslösung für kleinere Betriebe: Das Gesetz sollte für Unternehmen mit 50 bis 249 Beschäftigten erst ab 2023 gelten.
Kritik von vielen Seiten
Der Entwurf der EU-Richtlinie ist allerdings umstritten. Arbeitgeberverbände bemängeln etwa, dass Unternehmen zu viel Aufwand durch die neuen Regelungen entstehe; Nichtregierungsorganisationen wie Transparency Deutschland geht das HinSchG dagegen noch nicht weit genug. Auch innerhalb der Regierung wurden sich die Koalitionspartner nicht einig: Die CDU/CSU ist dagegen, den Geltungsbereich auf deutsches Recht zu erweitern, obwohl auch andere Mitgliedsstaaten Vergleichbares planen. Ende April scheiterte der Entwurf in der Ressortabstimmung.
Mit diesem Stand ist sehr fraglich, ob Deutschland noch fristgerecht ein neues Gesetz verabschieden kann. Selbst wenn schnell ein neuer Entwurf auf den Weg gebracht wird, auf den sich die Ministerien einigen können: Die weiteren Schritte im Gesetzgebungsverfahren benötigen ebenfalls Zeit, und der Bundestag kommt in dieser Legislaturperiode am 25. Juni zum letzten Mal zusammen. Nach der Bundestagswahl im September muss eine neue Regierung gebildet werden. Und bis die ihre Arbeit aufnehmen kann, ist Weihnachten nah. Tritt am 17. Dezember kein neues Gesetz in Kraft, droht Deutschland eine Vertragsverletzungsverfahren. Das wäre kein Geschenk.