01. Januar 2023
Neue Chancen für Hinweisgeber, neue Regeln durch die Corona-Pandemie: Compliance-Manager müssen sich derzeit mit vielen Anforderungen auseinandersetzen.
Nur selten werden Hinweisgeber so bekannt wie zuletzt Frances Haugen. Die Produktmanagerin, die einige Jahre bei Facebook arbeitete, ging vor kurzem an die Öffentlichkeit. Unter anderem, um darauf hinzuweisen, dass der Medienkonzern interne Studien zu den potenziellen negativen Auswirkungen auf Teenager unter Verschluss hielt – und in der Öffentlichkeit derartige Effekte herunterspielte. Inzwischen befasst sich der US-Kongress mit den Vorwürfen der Whistleblowerin.
Derart medienwirksam können Hinweisgeber in mittelständischen Unternehmen zumeist nicht agieren. Aber das muss auch gar nicht sein – nicht etwa, weil es dort keine Regelbrüche gibt. Sondern weil sich auch andere Möglichkeiten bieten, mit Whistleblowern umzugehen. Denn sie sind in puncto Compliance keine lästigen Mitarbeiter, sondern bieten vor allem Chancen: Hält das unternehmensinterne Compliance-System geeignete Instrumente bereit, können Hinweisgeber einen wichtigen Beitrag zum Risikomanagement leisten.
Für Unternehmen ist es durchaus von Vorteil, frühzeitig von Missständen zu erfahren und diese zu beheben. Die Möglichkeit, in einem geschützten Kanal gegebenenfalls anonym auf den Bruch von Regeln im eigenen Unternehmen hinzuweisen, soll künftig daher europaweit gesetzlich abgesichert sein. Die EU-Whistleblower-Richtlinie gibt eine Umsetzungsfrist für nationales Recht bis Mitte Dezember vor; die neue Bundesregierung hat sich im Koalitionsvertrag darauf verständigt, die Richtlinie zügig und rechtssicher umzusetzen.
Schon jetzt hat ein Großteil der Unternehmen ein solches Hinweisgebersystem etabliert. Das ergab eine aktuelle Befragung innerhalb der fünfjährigen Studienreihe “The Future of Compliance” der Wirtschaftsprüfungs-Gesellschaft Deloitte. Demnach setzen bereits drei Viertel der befragten Unternehmen auf derartige Instrumente, mit denen eine Speak-Up-Kultur gestärkt werden soll.
Arbeitnehmer können auf Missstände hinweisen und zugleich darauf vertrauen, dass ihnen keine Nachteile dadurch entstehen. So mancher tut dies lieber anonym – laut Studie nutzt ein Drittel der Hinweisgeber anonyme Meldemöglichkeiten. Was wiederum bedeutet, dass Unternehmen, die keine anonymen Hinweise ermöglichen, die Chancen reduzieren, frühzeitig Missstände aufzudecken und damit auch künftige Risiken zu minimieren.
Ein professionelles Hinweisgebersystem ist jedoch nur ein Teil eines Compliance-Managements, das den aktuellen Herausforderungen gewachsen ist. Ein weiterer Aspekt ist die Digitalisierung. Auch wenn sich Compliance-Manager bereits vor der Corona-Pandemie intensiv mit Digitalisierung beschäftigt haben, so hat die Krise Chancen und Risiken nochmals potenziert: Durch den plötzlich erzwungenen Rückzug vieler Beschäftigter ins Home Office spielen die Themen Datenschutz und Datensicherheit in viel größerem Ausmaß als vor der Krise innerhalb des Compliance-Managements eine Rolle. Regeln und Vereinbarungen basieren in der mobilen Arbeitswelt stärker auf Vertrauen als zuvor, Daten und Betriebsgeheimnisse müssen zugleich stärker gegen IT-Angriffe von außen abgesichert werden.
Unternehmen, die hier schon vor der Krise gut aufgestellt waren, kommen nach jetzigem Stand auch im Bereich Compliance besser unter Ausnahmebedingungen zurecht. Allerdings müssen die Risikomanager laut Deloitte-Studie nicht nur mit weniger personellen Ressourcen, sondern auch mit einem eingeschränkten Budget leben. Je kleiner das Unternehmen, umso häufiger wird in der Untersuchung auch die Autorität der Compliance-Funktion als Herausforderung genannt.
Dazu kommt, dass das Fördern einer Compliance-Kultur in den Unternehmen mühsam zu sein scheint – ein Problem, das vor einigen Jahren noch nicht als solches wahrgenommen wurde. Sehen heue 73 Prozent der Teilnehmer der Studie dies als größte aktuelle Herausforderung, waren es im Jahr 2018 nur ein gutes Drittel. Eine fundierte Compliance-Kultur im Unternehmen zu verankern, ist ein Prozess, der nicht nur langwierig ist, sondern auch kontinuierlich fortgeführt werden muss. Compliance-Themen müssen ins Unternehmen hinein kommuniziert und bewusst gemacht werden.
Darüber hinaus hat die Corona-Krise auch Auswirkungen auf das Alltagsgeschäft des Compliance-Managements. Denn die Vorschriften im Zusammenhang mit der Pandemie sind nicht nur vielfältig, sondern werden von den Aufsichtsbehörden auch scharf kontrolliert.
Ob Mauscheleien im Zusammenhang mit staatlichen Hilfen, das Einhalten von Arbeitsschutz- und Hygieneregeln oder auch das Arbeiten mit vertraulichen, personenbezogenen Daten im Homeoffice: Es ist in jedem Fall empfehlenswert, die unternehmenseigenen Compliance-Strukturen zu überprüfen und gegebenenfalls anzupassen und weiterzuentwickeln.
Das Compliance-Management wird in der Corona-Pandemie dem Härtetest unterzogen: Datensicherheit im Home-Office, zahlreiche neue Regeln für den betrieblichen Alltag und Digitalisierung im Schnelldurchlauf. Wie in vielen Bereichen bringt die Krise jedoch auch für das Compliance-Management Positives mit sich: Digitale Prozesse, die möglicherweise schon vorher teilweise angelegt oder angedacht waren, können nun dauerhaft etabliert und ausgebaut werden.
Das Risikomanagement im Krisenmodus ist der Praxistest – sowohl für die Digitalisierung des Compliance-Managements als auch für den Umgang mit neuartigen Straftaten und Angriffen. Dafür müssen die unternehmenseigenen Compliance-Strukturen auf dem neuesten Stand sein – und Compliance im Sinne einer vorsorgenden, positiven Fehler- und Lernkultur im Betrieb aktiv gelebt werden. Auf diese Weise gewinnt Compliance durch die Krise an Mehrwert für die künftige Organisationsführung.