Ein unterschätztes ESG-Risiko

"Wegen Greenwashing-Verdacht – Razzia bei Deutscher Bank und DWS […] Nun folgen behördliche Untersuchungen", so konnten wir es Ende Mai 2022 in der FAZ lesen. Solche oder ähnliche Schlagzeilen bergen enorme Reputationsrisiken für betroffene Unternehmen. Da aufgrund der wachsenden ESG-Regularien mit einhergehenden Berichtspflichten und parallel wachsender Bekanntheit und Förderung des Whistleblowings neue Risiken entstehen, lohnt sich die Beachtung einiger Compliance-Regeln.

Worum geht es bei Whistleblowing und Internal Investigations? 

Ein Whistleblower- bzw. Ombudspersonen-System bzw. die in diesem Rahmen berufene Ombudsperson steht der Leitung, dem Personal einer Organisation sowie optional deren Lieferanten, Auftragnehmern und sonstigen interessierten Parteien ("interested Parties") zur Verfügung.

Die Genannten können der Ombudsperson einen (potenziellen) Rechtsverstoß, Straftaten und Verstöße gegen interne Regelungen bzw. Verhaltenskodizes innerhalb der Organisation oder im Rahmen der Geschäftsbeziehungen zum Unternehmen mitteilen.

Die Ombudsperson ist dabei idealerweise ein objektiver Ansprechpartner, unterliegt keinen Weisungen durch das Unternehmen, sondern agiert selbstständig und unabhängig. Gegenüber Dritten gewährleistet sie (aufgrund vertrags- und berufsrechtlicher Verschwiegenheitsverpflichtungen, beispielsweise als zugelassener Rechtsanwalt) im Rahmen der rechtlichen Möglichkeiten die Anonymität/Vertraulichkeit der Hinweisgeber. Sie ist aus diesem Grund auch zur Verschwiegenheit gegenüber Dritten verpflichtet sowie an einschlägige, gesetzliche Bestimmungen zum Datenschutz gebunden.

Die Wahrung der Vertraulichkeit/Anonymität gegenüber Dritten ist zu unterscheiden von der Frage, ob die Ombudsperson anonyme Hinweise (Meldungen, bei denen der Hinweisgeber seine Identität auch gegenüber der Ombudsperson nicht preisgibt) bearbeitet: Letzteres ist fakultativ und sollte – auch als klare Botschaft bei allen Hinweisen zum Whistleblowing-System im Unternehmen – geregelt werden.

Existiert ein Compliance-Team im Unternehmen, so arbeitet die Ombudsperson mit diesem (unter Wahrung der Anonymität des Hinweisgebers, falls gewünscht) zusammen. Bei einer Ombudsperson handelt es sich aber nicht um eine "allgemeine Beschwerdestelle": Bei Verdacht auf einen Compliance-Verstoß ist nach regulierten Abläufen ein angemessener Untersuchungsprozess durchzuführen. Dieser ist juristisch sehr anspruchsvoll und sollte nur von "Profis" begleitet werden.

Welchen Nutzen hat das?

Die Ombudsperson leistet einen wesentlichen Beitrag, um ein angemessenes und wirksames Compliance-Managementsystem (CMS) aufzubauen. Außerdem berät sie (auf Wunsch auch unter Wahrung der Anonymität/Vertraulichkeit der Fragesteller) in Fragen zum Umgang mit möglichen Verdachtsmomenten und Gefährdungssituationen ("help desk").

Durch die Möglichkeit der Wahrung der Anonymität/Vertraulichkeit ist sie mit ihrer "Früherkennungs"-Funktion in der Regel wesentlich effektiver als Revision/Controlling etc.

Angemessene Untersuchungsprozesse sind wesentlicher Bestandteil eines enthaftenden CMS und helfen unter Umständen Regressansprüche abzusichern sowie ähnliche Vorfälle künftig zu vermeiden.

Besteht dafür eine (rechtlich verbindliche) Pflicht?

Es verfestigte sich von Jahr zu Jahr zunehmend die Ansicht, dass es bereits zum anerkannten Stand von Wissenschaft und Praxis gehöre, ein Hinweisgebersystem vorzuhalten. Damit gehöre dies auch zu den Pflichten eines gewissenhaften Unternehmers (§§ 43 GmbHG, 91, 93, 116 AktG, 347 HGB) und der Ermessenspielraum, ob so ein System vorzuhalten ist, reduziere sich deshalb stark.

Nach den Aussagen des Vorsitzenden Richters Rolf Raum des 1. Strafsenats am BGH ist ein solches – die Anonymität wahrendes (!) – Hinweisgeber-System auch eine wesentliche Komponente eines (enthaftenden) Compliance-Managementsystems. 

Außerdem existiert bereits in § 25a Abs. 1 Satz 6 Nr. 3 KWG (Kreditwesengesetz) eine solche gesetzliche Verpflichtung für Finanzinstitute und in § 23 Abs. 6 VAG (Versicherungsaufsichtsgesetz) für Versicherungsunternehmen.
Im Ausland verlangen beispielsweise der "UK Bribery Act 2010", der "US Foreign Corrupt Practices Act (FCPA) 1977" und die "US Sentencing Guidelines" das Vorhalten eines Whistleblower-Systems.

Eine unternehmensinterne Anlaufstelle für Whistleblower erfüllt diese Anforderungen in der Regel nicht, da die interne Stelle im Regelfall stets dem Geschäftsführer/Vorstand gegenüber auch bezüglich der Identität des Hinweisgebers auskunftspflichtig ist. Geeignet ist ein externer, fachlich einschlägig kompetenter Rechtsanwalt mit flankierendem entsprechenden Vertragswerk gegenüber dem Auftraggeber. 

Das "Hinweisgeberschutzgesetz" wird in Deutschland 2022 die entsprechenden europäischen Vorgaben umsetzen. In einigen Branchen und Gesetzen sind bereits auch entsprechende Pflichten für "interne Untersuchungen" aufgeführt. Eher jedoch sind fachmännische interne Untersuchungen noch eine Obliegenheit, die erhebliche Vorteile, nämlich enthaftende Wirkung, bringt.
Insbesondere auch das sogenannte "Greenwashing", also unzutreffende Angaben in Bezug auf Nachhaltigkeit kommt aufgrund umfassender Berichtspflichten immer häufiger vor und wird durch Whistleblowing zukünftig häufig aufgedeckt. Ein Ombudspersonen-System hilft zu "kanalisieren" und den unerwünschten Gang an die Öffentlichkeit zu vermeiden.