3 / 2 020 Österreichs erstes Compliance-Magazin
THEMENSP E C IA L Herausford erung Hinweisgeb er
NEW WORK? NEW WORK!
LexisNexis, 1030 Wien, Marxergasse 25 ISSN 2220-6299
Digital-Vordenkerin Joana Breidenbach über neue Wertehorizonte für Unternehmen
HINWEISGEBER SCHÜTZEN Whistleblower sind das beste Instrument zur Aufdeckung von Fraud. Ihr Schutz erweist sich als schwierig.
Netzwerkpartner
ARBEITSKRÄFTE ENTSENDEN Die grenzüberschreitende Entsendung von Arbeitskräften wirft Compliance-Fragen auf!
YEARS ANNIVERSARY
BIConcepts
DIGITAL TAX ADMINISTRATION Finanzbehörden verpflichten Unternehmen verstärkt zu digitalem Steuer-Reporting. Ein Ausblick.
INHALT
S AV E T H E D
Compliance www.compl
Solutions D
ay 2020
iance-soluti
24. Septem b
ATE
ons-day.at
er 2020
Schloss Schö nbrunn Apothekert rakt
INHALT
Eine Frage der Perspektive Seite 8
3/2020
© Adobe Stock
Quergelesen Seite 9 Termine Seite 47 Kolumne Seite 48
Digitalisierung & IT Digital Tax Administration: Ein aktueller Überblick und Ausblick in die Zukunft Weltweit verpflichten Finanzbehörden Unternehmen verstärkt zu digitalem Steuer-Reporting. Seite 42
Themenspecial „Herausforderung Hinweisgeber“
ab Seite 18
Recht & Haftung
Aktuelles Studie: Die Rendite von Compliance
Wie lassen sich Compliance-Erfolge nach weisen? Das untersuchte eine aktuelle Studie. Seite 4
Kartellrecht: Ein überraschendes Urteil
Ein österreichisches Urteil zur relativen Marktmacht von Unternehmen könnte Schule machen. Seite 7
Management & Organisation „Anwesenheit im Büro ist nicht wichtig“
Die Sozialunternehmerin Joana Breidenbach im Interview über neue Arbeit und neue Werte. Seite 10
THEMENSPECIAL Herausforderung Hinweisgeber Auswahl, Einführung und Betrieb eines Hinweisgebersystems am Beispiel der Miba AG
Das anonyme Hinweisgebersystem stellt ein zentrales Element im CMS der Miba AG dar. Seite 18
Veritatem dies aperit! – Motivation und Persönliche Folgen von Whistleblowing
Die EU-Whistleblower-Richtlinie soll Hinweisgeber in Zukunft besser schützen. Seite 22
Strafverfahren gegen Hinweisgeber im Lichte der Hinweisgeber-RL
In spezifischen Konstellationen sind Strafverfahren gegen Hinweisgeber denkbar. Seite 26
Aus ISO 19600 wird ISO 37301
Alle Infos zur neuen ISO 37301, die voraussichtlich Anfang 2021 die ISO 19600 ablöst. Seite 14
2
www.compliance-praxis.at
Coverfoto: ©Breidenbach/Fotograf: Nils Hasenau
Netzwerk News
Compliance im internationalen Personaleinsatz
ISO 37001: Austrian Standards als erster Zertifizierer akkreditiert
Sustainability Compliance
Karriere
Arbeits-, sozialversicherungs- und steuerrechtliche Aspekte der Personalentsendung. Seite 30
Das Nachhaltigkeitsparadigma stellt auch die Compliance-Funktion vor Heraus forderungen. Seite 34
Interview mit Dr. Peter Jonas, Director Certification bei Austrian Standards. Seite 45
Neue Compliance-Kräfte im D-A-CH-Raum. Seite 46
Internationales Antikorruption im internationalen Menschenrechtskontext
Korruptionsbekämpfung und der Schutz der Menschenrechte gehören untrennbar zusammen. Seite 36
DOJ erneuert seine Leitlinien zur Evaluierung von Compliance- Programmen und den FCPA-Leitfaden
Nach den Leitlinien zur Evaluierung von CMS wurde nun auch der Leitfaden zum FCPA erneuert. Seite 40
Wie lässt sich Finanzbetrug künftig besser verhindern? Das ist „Eine Frage der Perspektive“.
Seiten 8
3 / 2 020
3
MANAGEMENT & ORGANISATION
Compliance Praxis: In Ihrem Unternehmen betterplace lab haben Sie in den letzten Jahren selbstorganisiertes Arbeiten eingeführt. Eine recht umfangreiche „Verfassung“ regelt den Umgang zwischen den Teammitgliedern. Was sind die Vorteile von selbstorganisierter Arbeit? Joana Breidenbach: Unsere Arbeitsformen sind im Industriezeitalter entstanden, als es darum ging, mit Hilfe standardisierter Prozesse Waren und Dienstleistungen zu erzeugen. Wir leben aber heute in der digitalen Welt, die wesentlich dezentraler, flexibler, kollaborativer, im Zweifel globaler ist und sich sehr schnell verändert. Die im 19. und 20. Jahrhundert entwickelten Organisationsmodelle passen nicht mehr, um auf die schnellen Veränderungen unserer Welt antwortfähig zu bleiben. Würden sie formale Hierarchien per se in Frage stellen, auch in einem großen Konzern? Ich würde feste, rigide Hierarchien in Frage stellen. Wir arbeiten bei betterplace lab auch mit Hierarchien. Aber diese sind durchlässig, bilden sich für bestimmte Aufgaben, verfallen dann wieder und bilden sich für andere Aufgaben neu; immer mit demjenigen Menschen an der Spitze, der die meiste Kompetenz für die jeweilige Aufgabe mitbringt. Im digitalen Zeitalter müssen wir möglichst viel Wissen anzapfen, das entlang der gesamten Organisationsstruktur vorhanden ist. In hierarchischen Unternehmen werden an der Spitze Entscheidungen getroffen, obwohl die meiste Kompetenz wahrscheinlich an anderer Stelle zu finden ist.
Interview
„Anwesenheit im Büro ist nicht wichtig“ Joana Breidenbach, Social Entrepreneur und Digital-Vordenkerin, über veränderte Arbeitswelten nach Corona, „inner work“ und neue W ertehorizonte für Unternehmen.
© Marc Beckmann
Interview: Klaus Putzer
10
www.compliance-praxis.at
Wer entscheidet, wer die nötige Kompetenz für ein Projekt hat. Ist das offensichtlich? Nein, dazu braucht es eine offene, aber auch kritik- und konfliktfähige Diskussion. Da Selbst- und Fremdbild häufiger auseinanderklaffen, braucht es einen offenen Dialog darüber, wer welche Kapazitäten hat, um eine Aufgabe zu übernehmen. Ich würde Hierarchien überhaupt nicht verdammen, nicht alle Unternehmen müssen selbstorganisiert arbeiten. Bestimmte Elemente von Selbstorganisation sehen wir aber jetzt schon ganz stark im Kommen – Stichwort Agilität.
Sie sagen, es sei „inner work“ der Mitarbeiter gefordert, um in der Selbstorganisation erfolgreich sein zu können. Was verstehen Sie darunter? Mitarbeiter müssen einen psychologischen Reifungsprozess durchmachen. Es braucht ganz bestimmte Kompetenzen, um weitreichende Entscheidungen zu fällen, etwa die Fähigkeit, mit Komplexität umzugehen. Dafür reicht es nicht, Prozesse nur im Außen zu verändern, Menschen müssen mit ihren Kompetenzen mitwachsen. Bestimmte neue Kompetenzen müssen wie ein Muskel trainiert werden, etwa die Fähigkeit, sich selbst zu reflektieren oder den Prozess zu beobachten. Wir haben diese Kompetenzen mit einem Coach geübt, aber auch in unsere Arbeitsprozesse eingeführt. Wenn die Außenwelt durch die Dynamik der Digitalisierung unsicherer wird, müssen wir die Sicherheit an einer anderen Stelle etablieren, die dann notwendigerweise in uns selbst liegt. Kritisch könnte man hier anmerken, der Einzelne soll eine Sicherheit, die die Arbeitswelt nicht mehr bieten kann oder will, in sich selbst etablieren, damit er jederzeit in jeder Struktur funktionsfähig sein kann. Das ist genau das, wo wir definitiv nicht hinwollen. Es ist ja nicht ein Entwederoder, sondern ein Sowohl-als-auch: Auf der einen Seite möchte ich Mitarbeiter haben, die möglichst motiviert ihr eigenes Potential entfalten, weil es für sie als Menschen schöner ist, authentisch und lebendig zu sein. Zugleich ist es wichtig, dass wir dysfunktionale Strukturen – bis zu 73 Prozent der Angestellten fühlen sich laut Studien von ihrem Unternehmen abgekoppelt – nicht einfach akzeptieren. Wir haben immer auch den Blick darauf, was sich gesellschaftlich, strukturell insgesamt ändern muss. Inwiefern lässt sich diese Philosophie auf größere Unternehmen übertragen? Ein Sachbearbeiter in einer Bank identifiziert sich womöglich weniger stark mit seinen Aufgaben als jemand in einem Sozialunternehmen. Zum einen gehen fast alle Konzerne heute in diese Richtung. Sie sehen, dass sie in
einer Welt, die neue Anforderungen an sie stellt, Schwierigkeiten haben, den Innovationsgrad und die Schnelligkeit zu halten, die erforderlich sind. Zum zweiten glaube ich, dass sich auch Unternehmen wie Banken über den Wertehorizont „maximale Profitabilität“ hinaus neu orientieren können. Viele Kunden wechseln ihre Bank in diesem Sinne. Im „War for Talent“ wird es für Unternehmen auch zunehmend schwierig, richtig gute Mitarbeiter zu kriegen, weil diese eben auch Anforderungen an die Sinnhaftigkeit ihrer Tätigkeit stellen. Wie wird in selbstorganisierten Unternehmen Fehlverhalten von Beschäftigten sanktioniert? Prinzipiell pflegen wir eine große Fehlerfreundlichkeit. Weil Fehler nicht versteckt werden, können wir daraus lernen. Sehr enge Rückkopplungsschleifen sorgen dafür, dass Prozesse sauber durchgehalten werden und dass wir sehr früh merken, wenn wir eingreifen müssen. Passieren krasse Fehlleistungen – wenn beispielsweise jemand in die Kasse greift –, würde diese Person entlassen. Für anderes, nicht ganz so offensichtliches Fehlverhalten wenden wir Feedbackprozesse und ein Konfliktverfahren an, das dazu führen kann, dass Mitarbeiter gehen. Wir haben aber nicht den einen Chef, der das anordnet, sondern andere Arten, wie wir uns von Mitarbeitern trennen. Jedenfalls führen wir Gespräche darüber, was nicht funktioniert. Es handelt sich also nicht um eine einseitige Entscheidung wie in eher hierarchisch geführten Unternehmen. Die Coronakrise hat die Digitalisierung sehr gepusht. Wird flexibles, digitalisiertes, ortsunabhängiges Arbeiten zur „neuen Normalität“? Wir brauchen sowohl die Flexibilität, dass Menschen zuhause – entlang ihres Biorhythmus – produktiv arbeiten können, aber auch Räume, wo informeller Wissenstransfer stattfinden kann. Corona hat aufgezeigt, was wichtig für unsere Arbeit ist und was wir nicht vermissen. Die Anwesenheit im Büro ist nicht wichtig, denn es geht ja nicht darum, Zeit abzusitzen, sondern um Ergebnisse. In der → 3 / 2 020
11
Coronakrise konnte man sehen, dass sich viele Chefs aus Angst vor Kontrollverlust erst einmal über dezentrale Zeiterfassungstools erkundigten. Davon werden wir einen Schritt wegkommen, was ich sehr positiv finde. Auch die Art und Weise, wie Unternehmensgrenzen definiert werden, verändert sich. Dass wir Talente von außerhalb des eigenen Unternehmens flexibel nutzen, wandelt die Gestalt eines Unternehmens an sich. Werden traditionelle Loyalitäten zwischen Arbeitgeber und Arbeitnehmer damit künftig brüchiger? Als Unternehmer müssen wir eine Kultur schaffen, die Menschen das Gefühl gibt, sie können nicht nur sich selbst
Zur Person Dr. Joana Breidenbach hat seit 2007 eine Reihe von Unternehmen gegründet, die digitale Technologien für soziale Innovationen nutzen, allen voran betterplace.org, Deutschlands größte Spendenplattform. Im „Think-and-DoTank“ betterplace lab erforscht sie mit Ihren Mitarbeitern seit 2010, „wo sich Innovation und Gemeinwohl treffen“. Zudem ist sie Boardmitglied etlicher Organisationen und Unternehmen wie zB der Tomorrow Bank oder der Humboldt Viadrina Governance Platform. Die Autorin mehrerer Bücher wurde 1965 als Joana v. Rechenberg in Hamburg geboren, absolvierte Teile ihrer Schulbildung in Großbritannien, studierte in München Kunstgeschichte, Anthropologie und Osteuropäische Geschichte und schrieb am University College London eine Doktorarbeit über die deutsche materielle Kultur. Breidenbachs neuestes Buch trägt den Titel „New Work needs Inner Work: Ein Handbuch für Unternehmen auf dem Weg zur Selbstorganisation“ (VahlenVerlag, gemeinsam mit Bettina Rollow). Joana Breidenbach ist Keynote Speaker am Compliance Solutions Day 2020 am 24. September 2020.
weiterentwickeln, sondern auch an etwas Sinnvollem mitwirken. Unsere Gesellschaft ist – in der Schule, im Elternhaus, in der weiteren Ausbildung – so davon abgegangen, intrinsische Motivationen in den Mittelpunkt zu stellen, dass wir glauben, Menschen extern mit höherem Gehalt, Boni usw motivieren zu müssen. Pflegen wir ein anderes Menschenbild, dann folgen wir dem natürlichen Entwicklungsdrang von Menschen, die nicht 20 Jahre lang das Gleiche machen, sondern sich weiterentwickeln wollen. Wir müssen Mitarbeitern also sowohl Sicherheiten, Verlässlichkeit und Orientierung bieten als auch notwendige Freiräume, wo sie kreativ sein können. Diese beiden Pole braucht der Mensch. In der Gig Economy wird der Sicherheitspol völlig aufgegeben, was mental und auch sonst sehr ungesund ist. Wie finden Mitarbeiter mehr „innere Sicherheit“? Menschen zeigen am Arbeitsplatz meist nur ihr professionelles Gesicht, kehren ihre positiven Seiten nach außen. Wir alle zahlen einen sehr hohen Preis dafür, dass wir Unsicherheiten und negative Gefühle versteckt halten. Sicherheit am Arbeitsplatz bedeutet für mich, als ganzer Mensch auftreten zu können. Nur wenn wir uns trauen, Fehler zu machen und aus unserer Komfortzone herauszugehen, können wir auch kreativ sein. Bei betterplace lab muss niemand eine Therapie machen oder sich irgendwie entblößen, aber jeder darf mit allen Facetten präsent sein. Viele Arbeitgeber, egal ob sie selbstorganisiert arbeiten oder in einer Hierarchie, könnten viel verbessern, einfach indem sie eine andere Kultur etablieren, wo die Beschäftigten nicht bloß transaktional zusammenkommen, sondern als Menschen. Im Mission Statement Ihres „Think-andDo-Tank“ betterplace lab heißt es: „Wir erforschen, finden und fördern, was das Digitale sozial macht.“ Ist das Digitale denn so unsozial, dass es erst sozial gemacht werden muss? Wir sehen ja, dass das Digitale eigentlich wieder zur Profitmaximierung eingesetzt wird, in einer Weise, die dem Potenzial
von Digitalisierung in meiner Vorstellung nicht gerecht wird. Wieso wirtschaften wir denn? Einfach nur für mehr Geld? Das ist jedenfalls für mich kein Endzweck. Ich möchte mehr Geld haben, um mehr Wahlmöglichkeiten, mehr gestalterische Macht zu gewinnen. Wir sollten als Gesellschaft darauf abzielen, die Lebensqualität von möglichst vielen Menschen zu verbessern. Das ist ein Ziel, wo es viele Beispiele digitaler Technologien gibt, die dafür eingesetzt werden. Sie beschäftigen sich auch stark mit dem Thema „Change“. Ständiger Wandel ist in modernen Unternehmen Normalität. Warum löst Veränderung bei Menschen trotzdem meist eher Unbehagen als Freude aus? Menschen haben eigentlich einen ganz natürlichen Drang, sich weiterzuentwickeln. Aber niemand von uns bekommt gerne gesagt, dass er sich verändern soll. Das Problem ist, dass Change top-down angeordnet wird, meistens noch mit Beratern im Haus, wo dann ganz viele Leute – zu Recht – Angst um ihren Arbeitsplatz haben. Niemand, der verängstigt ist, wird sein Verhalten verändern. Change kann gelingen, wenn von der Unternehmensführung eine authentische Einladung erfolgt, dass man sich in bestimmten Bereichen neu aufstellen möchte. Auf von oben Verordnetes wird die erste Reaktion Widerstand sein. Denn: Wer bist du (Berater, Arbeitgeber), dass du mir sagst, dass ich mich ändern soll? Erfolgreicher sind in meiner Erfahrung Unternehmen, wo sowohl die Unternehmensführung als auch die Beschäftigten bottom-up gemeinsam so eine Entwicklung starten. Wo Mitarbeiter etwas verändern wollen und dann auch das Mandat dafür bekommen. Wir hatten bei betterplace lab – das ist vielleicht extrem – Mitarbeiter, die sich selbst abgeschafft haben, indem sie sagten: „Das Lab geht in eine bestimmte Richtung, von der ich glaube, dass ich nicht mehr am richtigen Platz bin. Ich liebe es zwar, Teil des Teams zu sein, aber ich sehe, dass jetzt eigentlich jemand anderes mit anderen Qualitäten gefragt ist. Sucht euch jemand, der eher diese und jene Qualitäten hat!“
Unsere Netzwerkpartner: ARS Akademie
Austrian Standards
Die ARS Akademie ist Österreichs größter privater Fachseminaranbieter und wurde heuer im Industriemagazin zum besten Seminaranbieter Österreichs gewählt. Mit 13 Fachbereichen bietet die ARS Akademie ein breites Spektrum an Seminarinhalten und Branchenthemen und deckt so jeden Weiterbildungswunsch ab.
Austrian Standards ist das österreichische Kompetenzzentrum für Normen und Regelwerke und bietet seinen Kunden und Stakeholdern eine vielfältige Palette an Dienstleistungen. Unter der Marke Fair Business® Compliance Certificate führt Austrian Standards Zertifizierungen und Prüfungen nach den Standards ISO 19600 und ISO 37001 durch.
BIConcepts
BigData & Analytics / Performance Management / Business Intelligence Wenn es darum geht, Daten – Informationen – Wissen in Ihrem Unternehmen zu managen, Ihre Compliance zu überwachen, Entscheidungen fundierter und besser zu treffen und damit Ihre Performance zu steigern, bietet BIConcepts die passende Beratung und die Umsetzung mit hochwertigen Software-Lösungen an.
BIConcepts bit media e-solutions GmbH
iwhistle GmbH
bit media ist E-Learning Marktführer in Österreich und international etablierter Lösungsanbieter. Mit der Sparte „Compliance E-Learning“ unterstützt bit media Unternehmen, vom KMU bis zum internationalen Großkonzern, bei der Umsetzung von Compliance-Richtlinien mit modernen digitalen Methoden.
Die iwhistle GmbH ist ein inhabergeführtes Unternehmen. Sicherheit, Vertrauen und Integrität zeichnen unsere Philosophie aus. Wir beraten Sie auf Grundlage der Bedürfnisse Ihres Unternehmens und begleiten Sie bei der Implementierung des passenden Hinweisgebersystems: iwhistle®.
Build Trust in society and solve important problems
targens GmbH
Taylor Wessing
YEARS ANNIVERSARY
Die SER-Gruppe
Software-Herstellung & IT-Dienstleistungen
SER ist größter unabhängiger deutscher Hersteller und Anbieter von Lösungen für integriertes Enterprise Content Management (iECM). SER bietet Lösungen zur Einhaltung firmeninterner und gesetzlicher Compliance Vorschriften.
Compliance Solutions – Zukunftsfähige Lösungen auf höchstem Niveau targens ist als IT-Expertenhaus führender Anbieter von Beratung, Softwareund Produktlösungen. Auf die Compliance-Kompetenz in Beratungs- und Implementierungsprojekten in Verbindung mit der marktführenden Software SMARAGD vertrauen 1.600 Unternehmen aus allen Branchen in mehr als 50 Ländern.
PwC Österreich
PwC bietet branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Rechtsberatung sowie Unternehmensberatung. So schaffen wir Mehrwert für unsere Kunden. Über 276.000 Mitarbeiter in 157 Ländern tragen mit ihren Ideen, ihrer Erfahrung und ihrer Expertise dazu bei, neue Perspektiven und praxisnahe Lösungen zu entwickeln.
Innovative / Proactive / Ambitious for clients | Instinctively commercial Taylor Wessing ist eine führende internationale Anwaltssozietät, die ihren Mandanten innovative Lösungen einschließlich maßgeschneiderter Compliance-Beratung bietet, um ihre ambitionierten Ziele zu erreichen. Die Offices in Wien, Budapest, Prag, Brünn, Bratislava, Warschau und Kiew bilden das CEE/SEE Competence Centre von Taylor Wessing.
Sie möchten Netzwerkpartner werden? www.compliance-praxis.at/Netzwerk 12
www.compliance-praxis.at
HERAUSFORDERUNG HINWEISGEBER
HER BER HINWEISGE
2017 begann die Miba mit der Implementierung eines Compliance- Management-Systems. Ein zentrales Thema bildete dabei die Auswahl und Einführung eines anonymen Hinweisgebersystems. Von Anna Lena Kronberger und Angelika Einzmann
Um die Effektivität eines Compliance-ManagementSystems („CMS“) gewährleisten zu können, ist es erforderlich, dass die Compliance-Abteilung von Compliance-Verstößen rasch informiert wird. Daher war es uns ein besonderes Anliegen, unseren Mitarbeitern zuverlässige interne Kanäle zur Eskalation und Kommunikation von compliance-relevanten Themen zur Verfügung zu stellen. Neben den bestehenden Möglichkeiten wie dem zentral angesiedelten Compliance-Team und den sogenannten Compliance Ambassadors, die als lokale Ansprechpartner – sowohl für das Compliance-Team als auch für die Mitarbeiter – an den weltweit rund 30 Miba-Standorten zur Verfügung stehen, wollten wir den Mitarbeitern auch eine alternative Möglichkeit abseits der klassischen Berichtswege zur Meldung von Compliance-Verstößen anbieten, wobei uns wichtig war, dass eine solche Meldung auch völlig anonym erfolgen kann. Im Folgenden möchte wir unsere Erfahrungen im Umgang mit diesem wichtigen, aber diffizilen und sensiblen Thema teilen. Beweggründe Die frühzeitige Erkennung potenzieller ComplianceVerstöße zur Vermeidung bzw Reduktion möglicher Risiken wie strafrechtliche Sanktionen oder einen Reputationsverlust, stellte für die Miba eine der wichtigsten Triebfedern für die Einführung eines Hinweisgebersystems dar. Zusätzlich war und ist es für uns von großer Bedeutung, den Mitarbeitern eine Kommunikationsmöglichkeit zur Verfügung zu stellen, bei der sie vermeintliche Missstände, falls gewünscht, anonym melden können. Denn trotz einer noch so offenen und vertrauensvollen Gesprächskultur im Unternehmen kommt es vor, dass sich Mitarbeiter mitunter nicht trauen, beobachtetes Fehlverhalten aus Angst vor persönlichen Nachteilen oder der Stigmatisierung als Denunziant direkt zu melden. Dies gilt vor allem dann, wenn Führungskräfte Gegenstand einer Meldung sind.
18
www.compliance-praxis.at
In der Wahrnehmung vieler Mitarbeiter ist ein Hinweisgebersystem trotz der Option, Hinweise anonym melden zu können, oft negativ behaftet und mit Zweifeln verbunden. Sie befürchten teilweise, dass die Anonymität nicht vollständig gewährleistet ist und sich das Unternehmen im Hintergrund irgendwelche Möglichkeiten zur Rückverfolgbarkeit von Hinweisen offen halten könnte. Um diesen grundsätzlich berechtigten Zweifeln der Mitarbeiter entgegenzutreten, entschieden wir uns, ein extern betriebenes System einzuführen, bei dessen Auswahl eine Reihe weiterer Kriterien entscheidend war. Auswahl Um unter der Vielzahl von Anbietern das ideale System für die Miba zu finden, definierten wir zu Beginn unsere Anforderungen und Erwartungen an dieses. Die zwei Aspekte, die wir unabhängig vom Anbieter für die Miba als unabdingbar erachteten, waren die strikte Einhaltung der datenschutzrechtlichen Vorgaben sowie ein umfassender Informationsschutz (Anonymität). Ersteres wird in der Regel spätestens seit der DSGVO von allen Anbietern entsprechend gewährleistet und teilweise durch freiwillige Zertifizierungen (zB „Euro PriSe“ – European Privacy Seal) untermauert. In Bezug auf den Informationsschutz ist unter anderem ausschlaggebend, wo sich der Server befindet, auf dem die Daten gespeichert werden (innerhalb der EU?) und ob der Anbieter oder Dritte Zugriff auf die Daten haben. Zusätzlich achteten wir darauf, ob der Anbieter und/ oder das Rechenzentrum bzw der Server, auf dem die Daten gespeichert werden, ISO 27001-zertifiziert¹ sind und ob bzw wie der Datenaustausch zwischen dem Hinweisgeber und dem System und auch zwischen den Bearbeitern der Hinweise und dem System verschlüsselt wird. Dies ist mitunter auch entscheidend dafür, ob die Anonymität zuverlässig gewährleistet werden kann. Ein weiterer Parameter für die Sicherheit des
Systems ist, dass der Anbieter dieses regelmäßigen Penetrationstests durch Dritte unterzieht. Dadurch können potenzielle Sicherheitslücken entdeckt und schließlich behoben werden. Weiters überlegten wir uns, in welcher Form die Hinweisabgabe möglich sein soll. Zur Auswahl standen rein webbasierte Systeme, mit und ohne Möglichkeit, Hinweise telefonisch abzugeben, rein telefonische Systeme sowie die Einbindung eines Ombudsmannes. Letztendlich fiel die Wahl auf ein rein webbasiertes, nicht-telefonisches System, da eine Anonymität des Hinweisgebers andernfalls nicht garantiert werden kann. Neben den genannten Aspekten gibt es zahlreiche weitere, die bei der Auswahl des Hinweisgebersystems relevant sein können. In Abhängigkeit der jeweiligen Anforderungen und Gegebenheiten des Unternehmens können diese selbstverständlich variieren. Für die Miba waren neben den zuvor genannten Kernthemen Datenschutz und Informationsschutz insbesondere folgende Punkte von Bedeutung: • Verfügbarkeit des Systems in verschiedenen Sprachen, • Sichere Übersetzungsmöglichkeit von Hinweisen, • Geschützte Dialogmöglichkeit mit dem Hinweisgeber, • Möglichkeit zum Einpflegen von Hinweisen aus externen Quellen (anonymer Brief, E-Mail, telefonischer Hinweis, etc), • Möglichkeit zum Upload von Texten, Bildern und sonstigen Daten durch den Hinweisgeber und die Bearbeiter, • Erstellung von automatischen Reports über Art, Anzahl, Herkunft, etc der Hinweise zB für den Aufsichtsrat, • benutzerfreundliches, selbsterklärendes System, • Zugriffsbeschränkungen für die Hinweisbearbeiter in Abhängigkeit der Hinweiskategorie. Welches System für ein Unternehmen letztendlich passend ist, hängt von unterschiedlichen Faktoren wie insbesondere der Größe, Internationalität und Branche, in der das Unternehmen tätig ist, sowie der Unternehmenskultur ab. Ausgestaltung des Hinweisgebersystems Dem Hinweisgeber sollte beim ersten Besuch auf der Startseite des Systems das Gefühl vermittelt werden, sich in einer vertrauensvollen und seriösen Umgebung zu befinden. Andernfalls nimmt er von seinem Entschluss, einen Hinweis abgeben zu wollen, möglicherweise wieder Abstand. Die jeweilige Ausgestaltung des Systems kann daher für dessen Erfolg
Die Autorinnen Mag. Anna Lena Kronberger ist Junior Counsel Legal & Compliance der Miba AG. Sie ist Vortragende am Compliance Solutions Day 2020. MMag. DDr. Angelika Einzmann ist Head of Legal & Compliance der Miba AG. Sie hat in Rechts- und Handelswissenschaften promoviert und war als Rechtsanwältin tätig.
© Miba AG
ECIAL T H E M E N S P RU N G A U S FO R D E
Auswahl, Einführung und Betrieb eines Hinweisgebersystems am Beispiel der Miba AG
THEMENSPECIAL
ein entscheidender Faktor sein. Allerdings sollte das Maß an individueller Ausgestaltung gut überlegt sein. So neigt man bei der Implementierung neuer Applikationen und Systeme unter Umständen dazu, diese möglichst im „Corporate Design“ des Unternehmens erscheinen zu lassen, um für die Mitarbeiter die Nutzung dieser Produkte möglichst attraktiv und vertraut zu gestalten. Auch unsere Intention war es ursprünglich, unser Hinweisgebersystem an das Miba-Design anzupassen. Um jedoch potenziellen Zweifeln der Mitarbeiter hinsichtlich der Kontrolle und Rückverfolgbarkeit von Hinweisen durch die Miba vorzubeugen, verzichteten wir letztendlich auf derartige Anpassungen. Andererseits wollten wir den Mitarbeitern nicht den Eindruck vermitteln, dass sie ihre Hinweise an unternehmensfremde Personen melden, weshalb wir an ausgewählten Stellen insbesondere textliche Anpassungen vorgenommen haben. So versuchten wir, durch ein persönliches Vorwort der Unternehmensführung das Vertrauen der Mitarbeiter zu wecken und diese zur Abgabe von ernst gemeinten Hinweisen zu ermutigen. Zusätzlich haben wir Fragen, die uns im Zuge der Einführung des Systems häufig gestellt wurden, in Form von FAQs aufgenommen und entsprechend beantwortet. Ein weiterer wichtiger Punkt ist die Definition von Themenbereichen, zu denen man Hinweise erhalten möchte. Dadurch verdeutlicht man den Mitarbeitern, welche Arten von Hinweisen erwünscht sind und vereinfacht zusätzlich deren nachgelagerte Bearbeitung im System. Bei der Definition der für die Miba relevanten Bereiche orientierten wir uns an den Inhalten unseres Code of Conducts. Aber auch hier gilt: Die ideale Ausgestaltung des Hinweisgebersystems hängt letztendlich vom jeweiligen Unternehmen und dessen Anforderungen und Bedürfnissen ab. Einführung und Kommunikation Die Einführung eines Hinweisgebersystems erfordert mitunter Fingerspitzengefühl. Es gilt hierbei etwaiges Misstrauen im Unternehmen, insbesondere auch → 3 / 2 020
19
HERAUSFORDERUNG HINWEISGEBER
Im Zuge der Einführung gibt es auch einige rechtliche Vorgaben (allen voran arbeitsrechtliche und datenschutzrechtliche Vorgaben, auf die hier nicht weiter eingegangen wird), die zu beachten sind. Insbesondere muss ein Unternehmen, das einen Betriebsrat hat, mit diesem eine Betriebsvereinbarung abschließen. Um diesbezüglich während der Einführung keine unnötige Zeit zu verlieren, ist es wichtig, den Betriebsrat rechtzeitig von der geplanten Maßnahme zu informieren und diesen unter Umständen entsprechend einzubinden. Eine frühzeitige Einbindung des Betriebsrates erhöht zudem die Chancen, diesen als Unterstützer für das Hinweisgebersystem zu gewinnen, was erheblich zur Akzeptanz des Systems im Unternehmen beitragen kann. Für die Kommunikation hat wohl jedes Unternehmen eigene bewährte Kommunikationsmethoden. Da es sich bei der Einführung eines Hinweisgebersystems jedoch nicht um eine alltägliche Maßnahme handelt, sollte man in Erwägung ziehen, zusätzlich zu den bewährten Methoden auch alternative Kommunikationswege oder -mittel anzuwenden. Dadurch kann man die Bedeutung und Wichtigkeit eines derartigen Systems bei Bedarf hervorheben und unter Umständen mehr Aufmerksamkeit von den Mitarbeitern erlangen. Es muss außerdem sichergestellt werden, dass die gesamte Belegschaft – unabhängig davon, ob diese zB Zugang zu einem Computer hat oder nicht – durch die Kommunikationsmaßnahmen erreicht wird. Einige Hinweisgeber möchten ggf von zu
20
www.compliance-praxis.at
Hause oder sonst von außerhalb des Unternehmens einen Hinweis abgeben (vor allem jene, die anonym bleiben wollen). Diesen sollte auch ohne Zugriff auf die betrieblichen Systeme der einfache Zugang zum Hinweisgebersystem ermöglicht werden. In der Kommunikation sollte außerdem klar zum Ausdruck kommen, welche Arten von Hinweisen gewünscht sind und welche nicht. Um Denunzierungsversuchen und falschen Beschuldigungen vorzubeugen, ist es aus unserer Sicht daher wichtig, offen zu kommunizieren, dass es aufgrund nicht-stichhaltiger Hinweise, die in keine der vorgegebenen Hinweiskategorien fallen, und ohne entsprechende Beweise zu keinen Konsequenzen für die beschuldigte Person kommen wird. In diesem Zusammenhang möchten wir hervorheben, wie wichtig die Möglichkeit einer – falls gewünscht – anonymen Kommunikation mit dem Hinweisgeber ist. Denn lediglich auf Basis eines kurzen Hinweises ist es oft nicht möglich, Untersuchungen oder Nachforschungen zu betreiben. Hierfür ist man regelmäßig auf weitere Informationen des Hinweisgebers angewiesen. Im Gegenzug sollte aber auch zugesichert werden, dass ein Hinweis, der sich im Nachhinein als falsch oder unberechtigt herausstellt, zu keinen negativen Konsequenzen für den Hinweisgeber führen wird, vorausgesetzt der Hinweisgeber hat nicht absichtlich falsche Informationen gemeldet. Es kann vorkommen, dass Situationen falsch interpretiert werden oder dass einzelne Handlungen im Gesamtkontext, der diesem nicht bekannt ist, anders zu beurteilen sind. In der Miba versuchten wir, all diese Aspekte mittels einer stufenweisen und breitgefächerten Kommunikation zu berücksichtigen und sicherzustellen. Im Zuge des Rollouts erfolgte zunächst eine Information an das Management und alle Führungskräfte. Im nächsten Schritt informierten wir die Mitarbeiter über einen Beitrag im Intranet, der über Bildschirme auch in den Produktionsbereichen für die Produktionsmitarbeiter ersichtlich war. Daneben wurden an allen gut frequentierten Orten im Unternehmen Plakate aufgehängt. Weiters erhielten sämtliche Mitarbeiter einen Brief vom Vorstand, in dem dieser noch einmal den Zweck und die Wichtigkeit des Hinweisgebersystems unterstrichen hat, sowie einen Minifolder („Quickguide“) im Scheckkartenformat, auf dem die wichtigsten Fakten, Antworten und Informationen (insbesondere Zugriffslink + QR-Code) noch einmal zusammengefasst wurden. Zusätzlich wurde und wird dieses Thema bei quartalsweisen Mitarbeiter-Informationsveranstaltungen von den jeweiligen Geschäftsführern (teilweise mit Unterstützung des Betriebsrates) angesprochen. Auch bei zahlreichen internen Veranstaltungen wurde
das Thema platziert und vereinzelt erfolgten kurze Informationsveranstaltungen durch das ComplianceTeam in lockerem Umfeld. Nach der ersten „Kommunikationswelle“ ist es durchaus sinnvoll und unter Umständen auch notwendig, weitere allgemeine oder lokale Kommunikationsmaßnahmen zu setzen. Dies hängt vor allem davon ab, wie das Hinweisgebersystem von den Mitarbeitern an den jeweiligen Standorten angenommen und genutzt wird. Außerdem kann dadurch das System nachhaltig in den Köpfen der Mitarbeiter verankert werden, sodass dieses bestenfalls früher oder später als „selbstverständlich“ wahrgenommen wird.
mit nur wenigen Teilnehmern betrifft. Auch auf die Verwendung geschlechtsneutraler Sprache in Bezug auf den Hinweisgeber ist zu achten, da ansonsten unter Umständen Rückschlüsse auf den Hinweisgeber getroffen werden können. Wenn Personen in die Aufklärung eines Hinweises eingebunden werden und den Sachverhalt zum ersten Mal hören, neigen diese unserer Erfahrung nach oft unbewusst dazu, den Hinweis als wahr und berechtigt anzusehen. Um dennoch eine objektive Aufklärung sicherstellen zu können, sollte man sich selbst und den beteiligen Personen regelmäßig in Erinnerung rufen, dass ein Hinweis auch völlig aus der Luft gegriffen sein oder sich als unwahr herausstellen kann.
Umgang mit Hinweisen Bevor die ersten Hinweise einlangen, empfehlen wir, einen Prozess zur Bearbeitung und Behandlung dieser Hinweise je nach Schwere und Relevanz zu definieren und darüber hinaus festzulegen, welche Personen wann und in welchem Ausmaß einzubinden sind bzw welche Aufgaben diesen zukommen. So können unnötige Verzögerungen und ein unprofessionelles Auftreten gegenüber dem Hinweisgeber sowie ein unstrukturiertes Handeln vermieden werden. Dies wäre für das Vertrauen der Mitarbeiter in das Hinweisgebersystem insbesondere im Anfangsstadium schädlich. Wir haben einen solchen Prozess gemeinsam mit dem Betriebsrat und Internal Audit definiert und in unser Integriertes Management System aufgenommen.
Selbstverständlich bedürfen nicht alle Hinweise, die im System einlangen, einer ausgeklügelten Aufklärung und Prüfung. Hinweise, die zB an den definierten Meldekategorien vorbeigehen, können mit einer kurzen Rückmeldung und dem Verweis an die zuständige Ansprechperson im Unternehmen erledigt werden. Gegebenenfalls kann man auch die Kommunikation zum Hinweisgebersystem nachschärfen und den Mitarbeitern auf diese Weise noch einmal erklären, für welche Art von Hinweisen das System genutzt werden soll.
Sofern mit dem Hinweisgeber ein Dialog über das System möglich ist, sollte dieser innerhalb kurzer Zeit zumindest eine erste Rückmeldung und ggf bereits erste Rückfragen erhalten. Unter Berücksichtigung der Zeit, die eine eventuell erforderliche Übersetzung des Hinweises und der Antwort benötigen, bemühen wir uns, auf den Hinweis spätestens innerhalb von zwei Werktagen zu reagieren. Je nach dessen Inhalt planen wir anschließend die Maßnahmen für die Aufklärung und Prüfung. Diese reichen von Einbindung des lokalen Compliance Ambassadors bzw der lokalen Geschäfts- und Personalführung und des Betriebsrats über Sonderaudits, Interviews, interne Prüfungen bis hin zur Einbindung von externen (Rechts-) Beratern und des „Compliance Committees“². Die Wahrung der Anonymität des Hinweisgebers sollte dabei stets oberste Priorität haben. Daher ist es wichtig, bei sämtlichen Maßnahmen, die zur Aufklärung gesetzt werden, zu hinterfragen, ob die Anonymität dadurch beeinträchtig werden könnte. So kann es zB sein, dass lokale Ansprechpersonen (Compliance Ambassador, Geschäftsführung, etc) leicht nachvollziehen können, wer der Hinweisgeber ist, wenn der Hinweis einen Vorfall in einem speziellen Meeting
2 Das Compliance Committee unterstützt als Beratungs- und Entscheidungsgremium den Head of Legal & Compliance der Miba Gruppe.
1 Die internationale Norm ISO 27001 regelt Anforderungen für Einrichtung, Betrieb, Umsetzung, Überwachung, Wartung und stetige Verbesserung eines InformationssicherheitsManagementsystems.
Fazit Von der Entscheidung, ein Hinweisgebersystem zu implementieren, bis zu dessen Rollout sollte mindestens ein Jahr eingeplant Ein erfolgreiWAS? werden. WIE? WER? ches Hinweisgebersystem sollte: • den individuellen Anforderungen des jeweiligen Unternehmens gerecht werden, • den höchsten Standards für Datenschutz und Informationsschutz genügen und • so ausgestaltet sein, dass es Vertrauenswürdigkeit und Seriosität vermittelt. Die Themenbereiche, zu denen man Hinweise erhalten möchte, sollten ebenso wie der Umgang mit eingehenden Meldungen vorab definiert werden. SpeakUP! ist ein sicheres Hinweisgebersystem (BKMS® System), das über den marktführenden Anbieter in diesem Bereich betrieben wird.
Über SpeakUP! können Sie Rat suchen oder anonym einen Hinweis abgeben, wenn Sie einen Verstoß gegen den Miba Verhaltenskodex, Miba Richtlinien oder gesetzliche Vorschriften vermuten oder feststellen (z.B. hin-sichtlich Datenschutz, Mobbing, Diskriminierung, Betrug, Korruption oder Kartellrecht).
Quickguide
https://www.bkms-system.com/miba/ SpeakUP SpeakUP! kann von überall genutzt werden. Alle über SpeakUP! eingegangenen Meldungen werden vom Legal & Compliance Team vertraulich bearbeitet. Bei Fragen wenden Sie sich bitte an das Legal & Compliance Team (compliance@miba.com).
Wir hören zu.
Faltbarer Minifolder im Scheckkartenformat.
3 / 2 020
© Miba AG
beim Betriebsrat, so gut es geht auszuräumen, das System in der Wahrnehmung der Mitarbeiter und des Betriebsrates möglichst positiv zu verankern und deren Vertrauen zu gewinnen. Ob die Einführungs- und Kommunikationsmaßnahmen schließlich erfolgreich sind, lässt sich nicht über die Anzahl der eingelangten Hinweise definieren, sondern viel mehr über deren Inhalt. Wenn im Laufe eines Jahres kein einziger oder nur wenige Hinweise abgegeben werden, kann es natürlich sein, dass es im Unternehmen tatsächlich kein Fehlverhalten gibt oder aber (und das ist wohl die wahrscheinlichere Variante) die Kommunikationsmaßnahmen waren nicht passend und ausreichend bzw das Vertrauen der Mitarbeiter konnte nicht gewonnen werden. Andererseits kann auch eine Vielzahl gemeldeter Hinweise innerhalb eines Jahres auf eine falsche Kommunikation hindeuten, was insbesondere dann zutrifft, wenn die Hinweise nicht in die vorgegebenen Meldekategorien fallen, offensichtlich denunzierend oder zu wenig stichhaltig sind. An dieser Stelle sei aber erwähnt, dass die statistisch übliche Anzahl von Hinweisen natürlich stark von der Unternehmensgröße abhängt.
THEMENSPECIAL
21
Compliance ist kein Drahtseilakt. Wenn man gut vernetzt ist.
Jetzt neu!
CompliancePraxis Compliance
Informieren. Vernetzen. Umsetzen.
Portal | Magazin | Netzwerk • Zugriff auf alle Inhalte des neuen, top-aktuellen Compliance Praxis-Portals • Österreichs 1. Compliance-Magazin: mit Experten-Beiträgen zu Best Practices, Management und Recht - 4x im Jahr analog und digital • Noch mehr Branchenkontakte für Ihren Vorteil: Interaktion mit Top-Experten und erfahrenen Praktikern
Im richঞgen Netzwerk bestens aufgehoben.
compliance-praxis.at/premium JETZT PREMIUM-MITGLIED WERDEN E-Mail: kundenservice@lexisnexis.at | Tel.: +43-1-534 52-0
Weil Vorsprung entscheidet.