Aus 2 mach 1 – Der Weg zu einem ökonomischen und rechtskonformen Melde- und Beschwerdesystem

Foto von David Vives auf Unsplash, Download-Datum: 20.04.2023

 

Ausgangslage

In den letzten Monaten traten zwei Gesetzesvorlagen in Kraft, die ein Melde- und Beschwerdesystem vorsehen[1]. Die eine ist das Lieferkettensorgfaltspflichtengesetz (LkSG), welches am 01.01.2023 für Unternehmen mit mehr als 3.000 Mitarbeiter:innen in Kraft trat. Die andere Gesetzesvorlage für Unternehmen in Deutschland ist das Hinweisgeberschutzgesetz (HinSchG), welches auf der EU-Whistleblowing-Richtlinie basiert und vor Kurzem verabschiedet wurde. Es tritt voraussichtlich Anfang Juli 2023 für Unternehmen mit mehr als 250 Mitarbeiter:innen in Kraft. Es ist aber vorgesehen, dass das HinSchG ab dem 17.12.2023 auch für Unternehmen mit mehr als 50 Mitarbeiter:innen gilt.

Gemäß §8 des LkSG soll das Hinweisgeberverfahren ermöglichen, auf menschenrechtliche und umweltbezogene Risiken sowie auf Verletzungen menschenrechtsbezogener oder umweltbezogener Pflichten hinzuweisen. Das Hinweisgeberverfahren kann dabei vom Unternehmen selbst vorgehalten werden oder es kann sich an einem externen Verfahren beteiligen. Neben der bloßen Einrichtung spezifiziert das Gesetz auch weitere Kriterien, die die Angemessenheit des Beschwerdeverfahrens spezifizieren: So ist zum Beispiel eine Eingangsbestätigung zu erteilen, eine schriftliche Verfahrensordnung öffentlich zugänglich zu machen oder auch die Vertraulichkeit der Identität und der wirksame Schutz vor Benachteiligung oder Bestrafung zu gewährleisten. Entscheidend ist, die Zugänglichkeit für die wichtigsten Zielgruppen zu ermöglichen und die Zugangsbarrieren zu minimieren.

Das HinSchG hat einen anderen Blickwinkel auf ein Melde- und Beschwerdeverfahren. Es stellt den Schutz von Personen in den Mittelpunkt, die Verstöße gegen das EU-Recht in bestimmten Bereichen melden – etwa, wenn es um öffentliche Aufträge, Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, Lebensmittel, öffentliche Gesundheit, Verbraucher- und Datenschutz geht. Das HinSchG spricht dabei von „internen“ Meldekanälen und sieht vor, dass Meldungen in mündlicher Form oder in Textform sowie auf Wunsch in persönlicher Weise ermöglicht werden. Neben konkreten Anforderungen müssen insbesondere die internen Meldekanäle so konzipiert sein, dass die Vertraulichkeit der Integrität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeiter:innen der Zugriff darauf verwehrt wird. Innerhalb des Unternehmens müssen „Meldestellen-Beauftragte“ bestimmt werden, die die Meldungen entgegennehmen. Konkrete Vorgaben gibt es dabei nicht. Maßgeblich ist die jeweilige Organisationsstruktur, Größe und Art der ausgeübten Unternehmenstätigkeit.

Viele Argumente sprechen nun dafür, über eine gemeinsame Umsetzung der regulatorischen Anforderungen aus LkSG und HinSchG in Bezug auf ein Beschwerdeverfahren nachzudenken. Zudem erhärtet sich die Einschätzung, dass sich Melde- und Beschwerdeverfahren zukünftig zu einem festen Baustein von Compliance-Paradigmen und Gesetzesvorlagen entwickeln. Dies sollte bei der Konzeption und Umsetzung eines Beschwerdeverfahrens heute schon proaktiv angedacht werden. Unternehmen müssen zumindest aus ökonomischen Gründen ganzheitliche und zukunftsfähige Systeme einführen, die umgehend bei etwaigen Änderungen der Rechtsvorschriften angepasst werden können. Dieses Finbridge Insight möchte diese beiden Aspekte nun detaillierter beleuchten und Ihnen eine Leitlinie für die Konzeption und Umsetzung eines Melde- und Beschwerdeverfahrens in Ihrem Unternehmen geben.

[1] Die Begriffe „Meldung“ und „Beschwerde“ werden in diesem Finbridge Insight synonym verwendet. Das HinSchG spricht von „Meldungen und Hinweisen“, das LkSG von „Beschwerden“.

Empfehlung 1: Konzeption eines gemeinsamen und integrativen Melde- und Beschwerdeverfahrens

Ein gemeinsames und integratives Melde- und Beschwerdeverfahren reduziert sowohl die Kosten bei der Einführung als auch den organisatorischen, technischen und fachlichen Aufwand zum Betreiben des Beschwerdeverfahrens deutlich. Zudem werden Unübersichtlichkeit und Verwirrung potenzieller Hinweisgeber:innen, welches Beschwerdesystem für welchen Hinweis nun verwendet werden soll, vermieden.

Die beiden regulatorisch geforderten Beschwerdeverfahren unterscheiden sich jedoch auch in vielen Aspekten, zum Beispiel in der Zugänglichkeit, im Anonymitätsgebot oder in den gesetzlichen Fristen. Wir empfehlen daher, sich bei der Konzeption und Umsetzung an den strengeren regulatorischen Vorgaben zu orientieren:

  • Gemäß LkSG müssen Unternehmen das Beschwerdeverfahren so einrichten, dass es allen Personen in ihren Lieferketten ermöglicht, auf menschenrechts- oder umweltbezogene Verstöße hinzuweisen. Das HinSchG setzt hingegen nur voraus, dass der Beschwerdemechanismus unternehmensintern für die Beschäftigten zugänglich sein muss, beispielweise über das Intranet oder die Hauspost. Unternehmensexterne Hinweisgeber:innen müssen nicht unbedingt Zugriff auf das System haben.

    Unsere Empfehlung: Ein gespiegeltes Beschwerdesystem sowohl auf der Intra- als auch auf der Internetseite. Sollte eine Spiegelung technisch zu aufwendig sein, so ist auch eine reine Internetlösung sinnvoll, da diese Möglichkeit auch von unternehmensinternen Hinweisgeber:innen verwendet werden kann.

  • Gemäß HinSchG sind interne Meldestellen verpflichtet, anonyme Hinweise zu bearbeiten. In der letzten Fassung des Gesetzes wurde jedoch auf die Pflicht, die Abgabe anonymer Hinweise zu ermöglichen, verzichtet. Nach LkSG muss nur die Vertraulichkeit der Identität der hinweisgebenden Person gewährleistet werden.  

    Unsere Empfehlung: Das Unternehmen stellt Hinweisgeber:innen sowohl nach HinSchG als auch nach LkSG die Möglichkeit der anonymen Hinweisabgabe zur Verfügung.

  • Beide regulatorischen Vorgaben verlangen, dass meldende Personen nach einer definierten Periode eine Eingangsbestätigung erhalten, sofern dies nicht aufgrund einer anonymen Meldung ausgeschlossen ist. Während das LkSG keine Frist vorsieht, muss der Eingang einer Meldung nach dem HinSchG spätestens nach sieben Tagen bestätigt werden. Außerdem müssen nach HinSchG Hinweisgeber:innen spätestens drei Monate nach Eingangsbestätigung über den aktuellen Stand der Meldung und die ergriffenen oder geplanten Maßnahmen informiert werden; vom LkSG wird dieser Aspekt nicht gefordert.

    Unsere Empfehlung: Das Unternehmen übernimmt die Informationsfristen aus dem HinSchG auch für LkSG-Hinweise. Diese Fristen sind dann auch in der prozessualen Bearbeitung der einzelnen Hinweise zu berücksichtigen.

Trotz der Möglichkeit, das Melde- und Beschwerdeverfahren technisch gemeinsam umzusetzen, ist es jedoch erforderlich, die Bearbeitungsprozesse für LkSG- und HinSchG Meldungen separat zu definieren. Die beiden Gesetze decken verschiedene sachliche Anwendungsbereiche ab. Überschneidungen bei der Fallbearbeitung existieren, sind aber limitiert. Die im LkSG geforderte anlassbezogene Lieferantenrisikoanalyse und das -management müssen zudem in den entsprechenden Workflow für eingehende Meldungen integriert werden. Das Melde- und Beschwerdesystem muss daher die Möglichkeit aufweisen, die Verdachtsmeldung schon bei Erfassung einer Gesetzesvorlage bzw. Verdachtskategorie zuordnen zu können, sowie einen unterschiedlichen Bearbeitungsprozess der Verdachtsmeldung vorsehen. Dies ist aber ohne Probleme umzusetzen, da es sowieso ratsam ist, eine koordinierende Stelle einzurichten, die die eingehende Verdachtsmeldung einer Vorprüfung auf ihre Werthaltigkeit unterzieht. Je nach Hinweiskategorie startet hier dann der unterschiedliche Bearbeitungsprozess.

Die beiden regulatorischen Vorschriften schreiben außerdem unterschiedliche Aufbewahrungsperioden für die Hinweise sowie die entsprechenden Bearbeitungsschritte vor. Gemäß LkSG müssen alle Dokumente und Informationen mindestens sieben Jahre im Rahmen der Dokumentation der Erfüllung der Sorgfaltspflichten aufbewahrt werden. Dementgegen müssen eingehende Meldungen im HinSchG drei Jahre nach Abschluss der Fallbearbeitung gelöscht werden. Somit ist eine Unterscheidung zwischen den Hinweiskategorien erforderlich, um die regulatorischen Aufbewahrungsperioden der beiden Gesetze zu erfüllen.

Empfehlung 2: Externe Lösung eindeutig vor interner (Eigen-)Entwicklung

Die Unternehmen stehen nun vor der Entscheidung, ob sie eine IT-Lösung in-house entwickeln, oder ob sie auf eine externe IT-Lösung zurückgreifen. Finbridge hat eine Studie hierzu über die DAX-Unternehmen (Stand 15.03.2023) durchgeführt. Die Studie hat ergeben, dass externe IT-Lösungen sich in den letzten Jahren de facto zum Industrie-Standard etabliert haben. Mindestens 70% der Unternehmen in der Studie – darunter auch große Software-Unternehmen – haben sich für den Kauf eines externen Beschwerdesystems entschieden. Diese externen IT-Lösungen können entweder als stand-alone Software oder als Modul einer Compliance Management Suite mit einer umfassenden Palette weiterer Compliance-Lösungen erworben werden. Durch den Erwerb einer neuen Compliance Management Suite können Unternehmen die Einführung eines Beschwerdesystems als Chance nutzen, weitere Compliance- und Risikomanagementprozesse zu digitalisieren und modernisieren.

Im Rahmen unserer LkSG-Umsetzungsprojekte haben wir mehr als 40 Anbieter von externen IT-Lösungen untersucht. Der aktuelle Markt zeichnet sich dabei durch eine hohe Konkurrenz zwischen etablierten Anbietern, sowie viele neue pure-play Systemanbieter aus, die die Anforderungen der EU-Whistleblower-Richtlinie als Gründungsanlass haben. Obwohl die einzelnen Melde- und Beschwerdesysteme unterschiedlich umgesetzt werden, ist zwischen den einzelnen Anbietern aber keine klare Produkt- und Marktdifferenzierung erkennbar. Wir empfehlen bei der Software-Evaluation sich auf Anbieter mit deutschem Marktfokus zu konzentrieren. Diese verfügen in aller Regel über vertieftere Kenntnisse über das deutsche und europäische regulatorische Umfeld und sichern ihre Lösungen nach den nationalen und regionalen Datenschutz- und Informationssicherheitsrichtlinien (BDSG/DSGVO-Konformität, sicheres Hosting innerhalb der EU, ISO 27001-zertifiziert, Ende-zu-Ende Verschlüsselung, etc.).

Die Beschwerdesysteme der Anbieter bestehen dabei typischerweise aus zwei Komponenten: (a) einer Meldeplattform, auf welcher Hinweisgeber:innen digital und anonym Verdachtsfälle melden und mit Fallbearbeiter:innen kommunizieren können und (b) einem Case-Management System für die Bearbeitung und Dokumentation der einzelnen Hinweise.

Abbildung 1: Beispielhafte Integration des Hinweisgebersystems in die IT-Architektur

Die Meldeplattform ist grundsätzlich über einen Link auf der Unternehmenswebsite abrufbar und steht parallel zu anderen Meldekanälen wie Post, Fax, E-Mail, etc. zur Verfügung. Fast alle Anbieter ermöglichen dabei eine anonyme 2-Wege-Echtzeitkommunikation zwischen den hinweisgebenden Personen und den Fallbearbeiter:innen. Hierdurch wird sichergestellt, dass die Hinweisgeber:innen schnell kontaktiert und über die Fortschritte bei der Untersuchung informiert werden können. Dabei ist darauf zu achten, dass die Meldeplattform auch über eine eingebettete Anti-Spam Funktion verfügt. Dadurch wird der Aufwand bei der Vorprüfung der eingegangenen Meldungen erheblich reduziert.

Das Case-Management System stellt das juristisch führende System für alle Hinweise dar und fungiert als zentrales Speicher- und Steuerungstool zur Sicherstellung einer gerichtsverwertbaren Vorgangsakte. Da das Ziel ein vollumfänglicher Datenaustausch mit anderen Systemen sein sollte, ist es daher wichtig, dass das Hinweisgebersystem die Möglichkeit bietet, dass Schnittstellen zu anderen Systemen implementiert werden können (Abbildung 1). Insbesondere für die Bearbeitung von Beschwerden nach dem LkSG ist eine Anbindung an das Lieferantenmanagement-System sinnvoll, um mit Lieferanten zu kommunizieren, die Risikoanalyse durchzuführen und die getroffenen Maßnahmen zu dokumentieren. Sollte die Nachhaltigkeitsanalyse und das -monitoring für die Lieferanten durch einen externen Datenanbieter, wie beispielsweise EcoVadis oder IntegrityNext durchgeführt werden, müssen auch diese Informationen in das Case Management System überführt werden.

Empfehlung 3: Zukunftsfähigkeit als absolutes „Muss“

Wie schon erwähnt ist davon auszugehen, dass in Zukunft noch weitere Gesetzesvorhaben entsprechende Melde- und Beschwerdeverfahren fordern. Wir empfehlen Ihnen daher schon heute ein Hinweisgebersystem umzusetzen, welches erwartbare zukünftige Anpassungen und Erweiterungen berücksichtigt. Wir haben einige Kriterien aufgelistet, die aus unserer Sicht die Grundsteine für die Zukunftsfähigkeit eines Hinweisgebersystems bilden:

  • Barrierefreiheit und Sicherstellung der Zugänglichkeit des Verfahrens für die vorgesehenen Zielgruppen, z. B. mit integrierten Übersetzungstools, um auch Informationen in verschieden Sprachen bereitstellen zu können.

  • Kontinuierlicher anonymer Kontakt mit Hinweisgeber:innen, z. B. über ein Postfach im Hinweisgebersystem, worauf Nutzer:innen mit Vorgangsnummer und Passwort zugreifen können.

  • Hinweisgeber:innen werden über den zeitlichen Verlauf des Verfahrens informiert, z. B. mit Hilfe von einem im System einstellbaren halb-automatisierten E-Mail-Versand.

  • Gewährleistung der Vertraulichkeit der Identität und der anonymen Nutzung des Verfahrens.

  • Anpassbare Workflows zur Prüfung der Beschwerde und Klärung des Sachverhalts, z. B. durch Kategorisierung der eingehenden Meldungen und eine kategorienabhängige Definition der Bearbeitungsworkflows. Die Anzahl der möglichen Bearbeitungsworkflows sollte dabei unbegrenzt sein.

  • Koppelung zu bereits bestehenden Risikomanagement- und Informationssystemen, z. B. mit einer Programmierschnittstelle (API) zur Übermittlung und Speicherung aller Informationen, Hinweise und Dokumente zu dieser Meldung oder Beschwerde.

  • Möglichkeit der Speicherung sowohl strukturierter als auch unstrukturierter Daten und Informationen, wobei auch die Daten- und Dateiformate für die Informationen so offen wie möglich sein sollten.

  • Vollständige und gerichtssichere Dokumentation der Verdachtsfälle und Bearbeitungsschritte.

  • Flexibilität bei der Erteilung von Zugriffsrechten, beim Fristenmanagement und bei der Dokumentation und Löschung der Meldungen, z. B. mit Hilfe einer rollenbasierten Nutzerverwaltung, von automatischen Erinnerungsnachrichten bzw. eines kategorienabhängigen Dokumentations- und Löschkonzept.

Finbridge als Ihr Partner für Ihre Umsetzung der LkSG- und HinSchG-Anforderungen

Finbridge unterstützt Sie bei:

  • der unternehmensübergreifenden Definition der Zuständigkeiten bei der Verarbeitung eingehender Verdachtsmeldungen,

  • der Konzeption, Auswahl und Einrichtung eines adäquaten und zukunftsfähigen Hinweisgebersystems,

  • der technischen und fachlichen Integration der betroffenen Systeme, um den Gesamtprozess möglichst vollständig zu digitalisieren und automatisieren,

  • der Ausarbeitung geeigneter Workflows und Rollenkonzepte zur Bearbeitung von Hinweisen nach LkSG und HinSchG und

  • der Sicherstellung einer gerichtsverwertbaren Vorgangsakte und lückenlosen Dokumentation des gesamten Prozesses innerhalb des Case-Management Systems.

Dank unseres umfassenden Know-hows in der Prozessgestaltung und -umsetzung, gepaart mit der großen Praxiserfahrung in der Prozessdigitalisierung, können wir flexibel auf die spezifischen Bedürfnisse Ihres Unternehmens eingehen. Haben Sie noch Fragen? Unser Expertenteam unterstützt Sie gern bei der Planung und Umsetzung Ihrer Projekte.

Quellen

[1] Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten – vom 16. Juli 2021 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 46, ausgegeben zu Bonn am 22. Juli 2021 – http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s2959.pdf, zuletzt abgerufen am 10.05.2023

[2] Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender
Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/FH_HinSchG.pdf?__blob=publicationFile&v=1, zuletzt abgerufen am 10.05.2023

[3] Vermittlungsausschuss erzielt Einigung beim Whistleblowerschutz, Pressemitteilung des Bundesrates – https://www.bundesrat.de/SharedDocs/pm/2023/005.html;jsessionid=4F33614C145E47BB2704F709DD8B231D.2_cid365?nn=4352768, zuletzt abgerufen am 01.06.2023

[4] Handreichung Beschwerdeverfahren nach dem Lieferkettensorgfaltspflichtengesetz, Bundesamt für Wirtschaft und Ausfuhrkontrolle – https://www.bafa.de/SharedDocs/Downloads/DE/Lieferketten/handreichung_beschwerdeverfahren.html?nn=1469750, zuletzt abgerufen am 10.05.2023

Mehr zu Regulatorik und Aufsichtsrecht

 

TEAM

 
 

Houssem Ben Romdhane

Consultant

Business Consulting

houssem.ben-romdhane at finbridge.de

LinkedIn

Steffen Reisch-Meissner

Senior Manager

Business Consulting

steffen.reisch-meissner at finbridge.de

LinkedIn

Mark Dobiéy

Partner

Business Consulting

mark.dobiey at finbridge.de

LinkedIn

 

Mehr Insights

 
Insights
Abwicklung von Versicherungsunternehmen – Festlegung der Abwicklungsstrategie
Abwicklung von Versicherungsunternehmen – Festlegung der Abwicklungsstrategie
Die CS3D der EU – eine ganz neue informations- und datentechnische Dimension für Unternehmen
Die CS3D der EU – eine ganz neue informations- und datentechnische Dimension für Unternehmen
At the Speed of Light: Instant Payment als „New Normal“
At the Speed of Light: Instant Payment als „New Normal“
Master Playbooks im Rahmen der Abwicklungsplanung
Master Playbooks im Rahmen der Abwicklungsplanung
AIFMD II – Neue Regulierung für Alternative Investmentfonds
AIFMD II – Neue Regulierung für Alternative Investmentfonds
Neue Anforderungen an Versicherungen - Abwicklungsplanung für den Fall der Fälle
Neue Anforderungen an Versicherungen - Abwicklungsplanung für den Fall der Fälle
MiCAR: Neue EU-weite Regulierung für den Kryptomarkt
MiCAR: Neue EU-weite Regulierung für den Kryptomarkt
LkSG-Poster
LkSG-Poster
CRR III - Herausforderungen im Kreditrisikobereich
CRR III - Herausforderungen im Kreditrisikobereich
Die Finbridge CO₂-Bilanz 2022
Die Finbridge CO₂-Bilanz 2022
Mindestanforderungen an das Risikomanagement von ZAG-Instituten
Mindestanforderungen an das Risikomanagement von ZAG-Instituten
Einführung IFRS S1 und IFRS S2
Einführung IFRS S1 und IFRS S2
Benchmarking-Studie zur Abwicklungsplanung & Ausblick 2024
Benchmarking-Studie zur Abwicklungsplanung & Ausblick 2024
ESG-Poster
ESG-Poster
Krypto-Assets – Eine neue Herausforderung im Aufsichtsrecht
Krypto-Assets – Eine neue Herausforderung im Aufsichtsrecht
Das Finbridge-Tool für eine effiziente anlassbezogene Risikoanalyse
Das Finbridge-Tool für eine effiziente anlassbezogene Risikoanalyse
​​A.I. - Künstliche Intelligenz im IRB-Bereich​
​​A.I. - Künstliche Intelligenz im IRB-Bereich​
Nachhaltigkeit einer Wirtschaftstätigkeit nach EU-Definition am Beispiel des Immobiliensektors
Nachhaltigkeit einer Wirtschaftstätigkeit nach EU-Definition am Beispiel des Immobiliensektors
7. MaRisk Novelle fordert die grüne Revolution im Bankbereich
7. MaRisk Novelle fordert die grüne Revolution im Bankbereich
Wie wirken sich die CRR-III-Neuerungen auf das CVA-Risiko aus?
Wie wirken sich die CRR-III-Neuerungen auf das CVA-Risiko aus?
Houssem Ben RomdhaneRegulatorik, Compliance, LkSG, HinSchG, Hinweisgebersystem, Beschwerdeverfahren