Prof. Dr. jur. Kai-D. Bussmann und Carina Sophie Röthke

Baustelle „Hinweisgeberkultur“

Empirische Ergebnisse aus Befragungen in Unternehmen

Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. 7. 2023 in Kraft getreten, nach verspäteter Umsetzung der EU-Whistleblowing-Richtlinie und einem regelrechten Gesetzgebungskrimi. Viele Unternehmen verfügten jedoch schon seit längerem über ein Hinweisgebersystem. Anonyme Befragungen der Beschäftigten in mittelständischen und Großunternehmen vor und nach der Einführung des HinSchG zeigen, dass es vielfach weniger an einem angemessenen Compliance-Management mangelt, sondern an einer nachhaltigen Implementation der Hinweisgeberkultur, sodass diese internen Kanäle tatsächlich genutzt werden. Vor diesem Hintergrund verbindet dieser Beitrag aktuelle empirische Daten zum Meldeverhalten von rund 20.000 Beschäftigten in 28 Unternehmen, verschiedener Branchen und Landeskulturen, mit einem praxisorientierten Blick auf die Baustelle „Hinweisgeberkultur“.

I. Compliance-Management schafft Compliance-Kultur

Unternehmen stellen sich unserer Erfahrung nach häufig erst zu einer Messung des Status ihrer Compliance-Kultur nach gravierenden forensischen Vorfällen die Fragen: Handelte es sich nur um einzelne Täter oder um eine Vielzahl oder gar ein ganzes Netzwerk von Tätern, haben wir grundsätzliche, systemische Schwachpunkte in unserem Compliance-Management-System (CMS), die wir bislang übersehen haben? Fragen, die sich auch aus Sicht von Wirtschaftsprüfern, Forensikern oder gar Strafverfolgungsbehörden stellen (würden). Dies ist häufig auch der Zeitpunkt, an dem sich Unternehmen für die Messung ihrer Compliance-Kultur entscheiden.1 Andere häufige Zeitpunkte für die Entscheidung zur Messung sind der Wechsel der Unternehmensleitung oder des Compliance Officers (CO).

Viele Unternehmensverantwortliche wissen zwar, dass ein wirksames Compliance-Management auch einer förderlichen Unternehmenskultur bedarf, so ja auch die Kriterien nach ISO 37301 und dem IDW PS 980. Aber die meisten gehen davon aus, dass in ihrem Unternehmen eine solche Kultur besteht, bis am Tag X begründete Zweifel aufgrund eines Compliance-Verstoßes aufkommen.2

Grundsätzlich weisen Unternehmen, die über ein ihrer Größe und Risiken angemessenes Compliance-Management verfügen, eine zumindest in Ansätzen förderliche Unternehmenskultur auf. Nach Befragungen3 in einer Vielzahl von Unternehmen kennen rund zwei Drittel der Beschäftigten den unternehmenseigenen Kodex recht gut (65 %) und 22 % zumindest ein wenig. Die meisten Unternehmen verfügen somit zwar über angemessene Verhaltenskodizes. Diese bringen jedoch faktisch wenig Mehrwert, wenn sie allenfalls teilweise bekannt sind, aber die Grundsätze nicht nachhaltig im Arbeitsalltag verankert sind.

Die Entwicklung einer förderlichen Kultur beginnt zwar mit der Einführung eines Compliance-Regelwerks, aber für dessen Akzeptanz kommt es nicht nur auf entsprechende Schulungen an, sondern auch auf den „Tone from the Top“. Dies gelingt Unternehmen vielfach noch nicht zufriedenstellend. Nur etwa die Hälfte der Beschäftigten gaben an, dass das „Top Management geschlossen hinter dem Verhaltenskodex steht“ und 29 % stimmten bedingt zu. Mehr als ein guter Anfang sind diese Durchschnittswerte daher nicht, die Gruppe der Zweifler und Skeptiker ist mit etwa einem Viertel noch zu groß.

Abb. 1: Tone from the Top bezüglich Verhaltenskodex

	völlig zutreffend	eher zutreffend	teils/teils	eher nicht zutreffend	nicht zutreffend
Das Top Management steht geschlossen hinter dem Verhaltenskodex	47 %	29 %	17 %	4 %	3 %

Das Regelwerk wird stärker akzeptiert, wenn es adressatengerechte, praxistaugliche Inhalte darstellt. Die Akzeptanz sinkt, wenn Richtlinien von der Belegschaft lediglich als abstrakte Darstellungen ohne Bezug zum eigenen Arbeitsalltag wahrgenommen werden. Zum Handwerkszeug des CO gehört es durch gutes Storytelling den Zweck hinter der Regel verständlich zu machen. Dies trägt unmittelbar zur Akzeptanz des Compliance-Regelwerks bei. Dies gelingt vielen Unternehmen ebenfalls noch nicht so recht, wie die folgenden Beurteilungen von Beschäftigten zeigen.

Abb. 2: Bewertung des Verhaltenskodex

Der Verhaltenskodex …	völlig zutreffend	eher zutreffend	teils/teils
… gibt mir Sicherheit im Umgang mit Geschäftspartnern.	47 %	33 %	13 %
… verkompliziert meine Arbeit.	7 %	13 %	22 %
… stellt einen Wettbewerbsvorteil dar.	21 %	22 %	23 %
… ist zu bürokratisch organisiert.	8 %	18 %	29 %

Unserer Erfahrung nach liegen gravierende Schwachpunkte jedoch häufiger an noch anderen zentralen Elementen einer Integritätskultur. Nach unserem Verständnis bedarf es für eine Kultur der Integrität nicht nur einer Compliance-Kultur, sondern auch einer nutzerfreundlichen Implementation des Hinweisgebersystems und einer Hinweisgeberkultur als solcher. An beidem fehlt es vielfach.

Auch in einem optimalen CMS wird es gleichwohl immer zu (teils gravierenden) Compliance-Verstößen kommen (können). In keinem Unternehmen gibt es, wie auch in der gesamten Gesellschaft, vollkommen kriminalitätsfreie Zonen. Kriminalität ist aus kriminologischer Sicht bis zu einem gewissen Grad normal, das heißt keine Ausnahmeerscheinung.4 Die Frage ist nur, wie wir damit umgehen, um das Risiko deutlich zu reduzieren.

II. Hohe Verdachtsquoten bei zu geringem Meldeverhalten

Teilweise besteht der Irrglaube, dass keine oder eine geringe Nutzung des internen Meldekanals mit dem Nichtbestehen von Compliance-Verstößen gleichzusetzen ist. Vielmehr sollte aus Unternehmenssicht gerade dann, wenn der Meldekanal nicht oder kaum genutzt wird, kritisch hinterfragt werden, ob der Kanal aktiv genug beworben wird und das für eine Meldung erforderliche Vertrauen ausreichend aufgebaut ist. Die Wahrscheinlichkeit, dass es tatsächlich keinerlei Compliance-Verstöße im Hellfeld eines Unternehmens gibt, ist sehr gering, wie die empirischen Daten zum Dunkelfeld in Unternehmen belegen.

Im Durchschnitt gaben 18 % der Befragten an, einen Verdacht auf einen Compliance-Verstoß zu haben, überwiegend eher jüngere Fälle (0–2 Jahre, 61 %). In der Regel wurde noch nicht einmal jeder zweite Verdachtsfall (44 %) dem Unternehmen tatsächlich auch zur Kenntnis gegeben. Dabei können die Werte zwischen den Unternehmen, aber auch innerhalb eines Unternehmens je nach Region und Personalgruppe stark schwanken.

Abb. 3: Verdacht auf Non-Compliance und Meldeverhalten

Verdacht auf Compliance-Verstoß in der Befragung genannt	18 %
Davon: tatsächliche Hinweisgabe	44 %
Hypothetische Frage, falls kein Verdachtsfall genannt:
Hinweisgabe sehr/eher wahrscheinlich	70 %

Die berichteten Verdachtsfälle erstrecken sich auf alle Formen der Wirtschaftskriminalität, enthalten auch arbeitsrechtliche Verstöße bis hin zu Mobbing und Diskriminierung. Am häufigsten genannt: Korruption und Interessenkonflikte (40 %), Betrug und Unterschlagung (26 %), Datenschutzverstöße (15 %), Verstöße gegen Umweltschutz und Sicherheitsstandards (14 %) und gegen arbeitsrechtliche Standards (22 %).

In jüngsten Befragungen wurde ein „Freitextfeld“ angeboten, dass es den Befragten ermöglicht, die einen Verdachtsfall hatten, Näheres zu ihrem Verdachtsfall mitzuteilen. Hiervon wurde reichlich Gebrauch gemacht. In den meisten Fällen handelt es sich um Fälle, die dem Unternehmen noch nicht mitgeteilt worden sind.

Bemerkenswerterweise geben sich die Beschäftigten in einer fiktiven Situation deutlich zuversichtlicher, dem Unternehmen einen Verdacht mitzuteilen, als es in einer realen Situation tatsächlich der Fall ist. 70 % der Befragten hielten es für wahrscheinlich, einen Hinweis auf einen Compliance-Verstoß zu geben, während es tatsächlich nur bei 44 % der Fall war (siehe Abb. 3 unten links). Gravierende persönliche und berufliche Bedenken, aber auch unternehmenskulturelle Handicaps scheinen im „Ernstfall“ einen großen Teil der potenziellen Hinweisgeber von der Abgabe des Hinweises abzuhalten (siehe unten V.).

Unternehmen lassen sich daher leicht über eine hohe Meldebereitschaft täuschen, die sie beispielsweise aus Schulungen oder Workshops ableiten. Die Bereitschaft, einen Hinweis im „Ernstfall“ tatsächlich zu geben, ist deutlich geringer. Das Dunkelfeld ist somit sehr viel höher als man es aus Sicht von Risk, der Personalabteilung, des CO oder der Wirtschaftsprüfer erahnen kann.

III. Faktische Privilegierung tatbeteiligter Vorgesetzter

Die Compliance-Risiken begründen sich nicht primär durch die Anzahl der in einer Befragung von den Beschäftigten berichteten Verdachtsfälle. Die empirischen Daten weisen auf eine besondere Risiko-Konstellation hin, die mit häufig sehr hohen materiellen und immateriellen Schadensrisiken einhergeht. Diese besondere Risiko-Konstellation ergibt sich aus der Kombination der folgenden drei Faktoren:

1. Im Durchschnitt werden die meisten Verdachtsfälle dem Unternehmen nicht zur Kenntnis gebracht – siehe Abb. 3. links.
2. In der Regel sollen und werden Verdachtsfälle tatsächlich am häufigsten dem Vorgesetzten gemeldet (60 %) und nur wenige über das Hinweisgebersystem (9 %) – siehe Abb. 4 unten.5
3. Bei einem relativ hohen Anteil der Verdachtsfälle gelten Vorgesetzte als involviert (35 %), demgegenüber bilden Externe/Geschäftspartner die kleinste Tätergruppe (19 %) – siehe Abb. 5, S. 257.

Abb. 4: Erste Ansprechpartner bei der Hinweisgabe

Vorgesetzte	Compliance- Office	spezieller Ansprechpartner	Hinweisgebersystem
60 %	21 %	11 %	9 %

Abb. 5: Anteil der Tatbeteiligten in Verdachtsfällen

Vorgesetzte	Kollegen/innen in meiner Abteilung	Andere Mitarbeitende des Unternehmens	Externe/ Geschäftspartner
35 %	29 %	43 %	19 %

Die Kombination der drei Faktoren wirkt sich wie folgt aus:

Die Kommunikation von Verdachtsfällen über alternative Wege zum Vorgesetzten ist in vielen Unternehmen stark gehemmt, wenn aus Sicht potenzieller Hinweisgeber Vorgesetzte als involviert in Betracht kommen. In der Folge besteht für Compliance-Verstöße mit vermuteter Beteiligung von Vorgesetzten das geringste Entdeckungsrisiko, mit einer zudem auch aus Sicht der Täter geringen Entdeckungswahrscheinlichkeit.

Mit der faktischen Privilegierung von tatbeteiligten Vorgesetzen verbirgt sich ein brisantes Compliance-Risiko, denn ein hohes subjektives Entdeckungsrisiko hat den mit Abstand höchsten Abschreckungseffekt, deutlich höher als die Androhung schwerster Sanktionen, wie wir aus der Kriminologie wissen.

Es lässt sich also als Zwischenfazit festhalten, dass in Fallkonstellationen mit Tatbeteiligung von Vorgesetzten ein erhöhtes Dunkelfeldrisiko besteht. Diesem Schwachpunkt kann nur durch eine vertrauensbildende Hinweisgeberkultur und eine höhere Akzeptanz des internen Meldekanals begegnet werden.

IV. Implementation des Hinweisgebersystems

Jedes Unternehmen ist aufgrund der Informationsasymmetrie in Bezug auf Compliance-Verdachtsfälle zum Nachteil der Unternehmensleitung auf die Unterstützung seiner Belegschaft angewiesen, um Hinweise auf Verstöße zu erhalten. Prozesse und Kontrollen können lediglich als eine Art „Governance-Auffangnetz“ fungieren. Täter finden jedoch immer wieder Wege das Netz aus Prozessen und Kontrollen zu umgehen. Ein akzeptierter interner Meldekanal und eine förderliche Hinweisgeberkultur sind die wirksamen Optionen, um der Informationsasymmetrie zu begegnen.

Bereits bei der Implementation des internen Meldekanals zeigen sich jedoch vielfach Schwächen. Dies beginnt mit der Bekanntheit des Hinweisgebersystems. Eigentlich sollten weit über 90 % der Beschäftigten das Hinweisgebersystem kennen, aber in der Realität liegt die durchschnittliche Bekanntheitsquote bei 74 % und bei einigen Unternehmen erreicht sie kaum mehr als 50 % (Abb. 6 oben rechts).

Die Schwächen setzen sich bei der Beurteilung der Zugänglichkeit des Hinweisgebersystems fort. Nur ein Drittel der Befragten bezeichnete die Zugänglichkeit als eher leicht (siehe Abb. 6 oben rechts). Die Mehrheit hat somit erhebliche Hürden zu nehmen, um überhaupt das Hinweisgebersystem ihres Unternehmens zu finden und nutzen zu können. Dies behindert die Aufhellung des Dunkelfeldes.

Damit der interne Meldekanal von den Beschäftigten auch genutzt wird, bedarf es eines expliziten Bekenntnisses der Unternehmensleitung nicht nur zum Verhaltenskodex, sondern auch zur Nutzung des unternehmenseigenen Meldekanals. Dieser „Tone from the top“ zur erwünschten Nutzung des Hinweisgebersystems fehlt jedoch vielen Beschäftigten. Nur etwa 31 % der Beschäftigten gaben an, dass ihr Top Management „glaubhaft vermittelt, dass die Abgabe eines Hinweises auf einen Compliance-Verstoß grundsätzlich erwünscht ist“, 35 % stimmten dem bedingt zu.

Damit der „Tone from the Top“ zum Hinweisgebersystem die Belegschaft tatsächlich erreicht, ist es erforderlich, dass auch das Compliance Office ein Selbstverständnis eines Kultur-Botschafters entwickelt und nach außen trägt. Es empfiehlt sich überdies eine enge Zusammenarbeit mit dem Risk Officer, um die Whistleblowing-, Compliance- und Risiko-Kultur eng miteinander zu verzahnen und eine holistische kulturelle Weiterentwicklung zu erzielen. Der Zugang zu den Meldekanäle sollte so niedrigschwellig wie möglich gestaltet sein.

Der größte Schwachpunkt liegt in einer fehlenden Akzeptanz des Hinweisgebersystems, so dass es zu selten oder gar nicht genutzt wird. Nur etwa ein Drittel der befragten Beschäftigten (36 %) beurteilten die Akzeptanz des Hinweisgebersystems bei ihren Kollegen und Kolleginnen als (sehr) hoch (als „sehr hoch“ nur 9 %, Abb. 6).

Abb. 6: Implementation des Hinweisgebersystem

Kenntnis des Hinweisgebersystems	74 %
Zugänglichkeit des Hinweisgebersystems „leicht“	33 %
Tone from the Top zur Erwünschtheit der Nutzung des Hinweisgebersystems, „völlig zutreffend“	31 %
Akzeptanz des Hinweisgebersystems bei Kollegen und Kolleginnen (sehr)hoch	36 %
Hinweis eines Verdachtsfalls an Vorgesetzte	60 %
Hinweis an Compliance Office	21 %
Hinweis an speziellen Ansprechpartner	11 %
Hinweis über Hinweisgebersystem	9 %

V. Hinweisgeberkultur sichtbar machen

Für den Präventionserfolg eines CMS ist die Kulturarbeit entscheidend, die an die Implementierung des Meldekanals anschließt. Sie zielt darauf ab, das für die Abgabe einer Meldung erforderliche Vertrauen aufzubauen. Ob diese Kulturarbeit erfolgreich ist und nachhaltiges Vertrauen entsteht, kann nicht allein durch die Unternehmensführung oder den CO beurteilt werden. Vielmehr kommt es auf die Wahrnehmung der Belegschaft an. Diese sollte daher gezielt zu ihrer Sicht auf das Unternehmen, die gelebte Kultur sowie ihr eigenes Vertrauen in die Nutzung interner Meldekanäle befragt werden.

Aus Sicht der Praxis ist die entscheidende Frage, welcher Kultur-Hebel die Meldebereitschaft tatsächlich erhöht. Der größte Hebel ist neben einer klaren Vorbildfunktion die Umsetzung eines umfangreichen Compliance-Kommunikationskonzepts. Dieses Konzept sollte als Element des CMS direkt aus der Compliance-Risikoanalyse abgeleitet werden: Je höher ein bestimmtes Compliance-Risiko ist, desto intensiver und passgenauer muss die entsprechende Kommunikation erfolgen. Das Kommunikationskonzept sollte außerdem Führungskräfte als Multiplikatoren einbinden und verschiedene Kommunikationskanäle bespielen, um eine breite Zielgruppe zu erreichen.

Dabei besitzen die jeweiligen direkten Vorgesetzten auf allen Personalebenen, nicht nur im Mittelmanagement eine Vorbildfunktion (sog. „Ethical Leadership“), der jedoch von etwa einem Drittel der Beschäftigten nicht nachgekommen wird. Wir greifen hier zwei wichtige Aspekte heraus. Vorgesetzte sollten mit ihren Mitarbeitenden „offen darüber diskutieren, wie mit Compliance-Fällen oder Konflikten im Geschäftsalltag umzugehen ist“. Diese Erfahrung machen jedoch nur rund 36 % der Befragten, eingeschränkt zustimmend 27 %.

Außerdem sollten Vorgesetzte darauf achten, dass Mitarbeitende den Verhaltenskodex einhalten und Abweichungen ansprechen. Diese Konsequenz ist keinesfalls selbstverständlich, kaum mehr als ein Drittel (37 %) der Beschäftigten machen diese Erfahrungen mit ihren Vorgesetzten, ein weiteres knappes Drittel nur bedingt (30 %).

Eine weitere Voraussetzung für eine Whistleblowing Culture ist die Speak-up Culture in einem Unternehmen. Eine fehlende Speak-up Culture ist der Nährboden für ein Schweigen zu Compliance-Vorfällen und begünstigt insbesondere die Position tatbeteiligter Vorgesetzter, wie oben dargestellt. Eine Speak-up Culture besteht aus Sicht eines großen Teils der befragten Beschäftigten eher nicht. Nach den Einschätzungen von 26 % der Mitarbeitenden können Probleme offen angesprochen werden und 17 % der Befragten sagen, dass Management-Entscheidungen offen hinterfragt werden (Abb. 7 unten).

Der größte Schwachpunkt der meisten Unternehmenskulturen ist, dass es zu häufig an dem Vertrauen in heiklen Situationen fehlt, einen Hinweis auf einen möglichen Compliance-Verstoß tatsächlich auch geben zu können. Hinweisgeber dürfen keine beruflichen und sozialen Nachteile befürchten müssen, ihre Anonymität und die Vertraulichkeit muss auch aus ihrer Sicht gewährleistet sein und sie müssen überzeugt sein, dass ihrem Hinweis ernsthaft nachgegangen wird.

Internationale Studien zeigen, dass Hinweisgeber gute Gründe haben, sich die Mitteilung eines Verdachts auf einen Compliance-Verstoß gründlich zu überlegen, sie gehen unkalkulierbare Risiken ein.6 39 % der befragten Beschäftigten befürchten berufliche Nachteile und noch häufiger mangelnde Vertraulichkeit und Anonymität (47 %) und 37 % äußerten Zweifel an der Ernsthaftigkeit, dass dem Hinweis auf einen Compliance-Verstoß tatsächlich nachgegangen wird.

Abb. 7: Elemente einer Hinweisgeberkultur

	Völlig zutreffend	Eher zutreffend
Direkte Vorgesetzte diskutieren offen Compliance-Konflikte	36 %	27 %
Direkte Vorgesetzte kritisieren Non-Compliance	37 %	30 %
Speak-up Culture: Man kann Management-Entscheidungen offen hinterfragen, wenn ein triftiger Grund besteht.	17 %	32 %
Speak-up Culture: Man kann Probleme offen ansprechen.	26 %	33 %
Bedenken: Berufliche Nachteile bei Hinweisgabe	17 %	22 %
Bedenken: Mangelnde Vertraulichkeit und Anonymität	20 %	27 %
Bedenken: Zweifel, ob mit Beharrlichkeit untersucht wird.	14 %	23 %

Nicht zu unterschätzen ist auch der Faktor, wie Mitarbeitende über ihre Erfahrungen mit dem Meldekanal untereinander kommunizieren. Wenn sich der Großteil der Hinweisgeber bei der Abgabe ihres Hinweises ernst genommen fühlt und ihnen vermittelt wird, ihrem Hinweis wird in angemessener Form nachgegangen, wird diese positive Erfahrung in einer psychologisch aufreibenden Situation eine Ausstrahlwirkung auf andere Mitarbeitende haben. Umso wichtiger ist, dass die für die Entgegennahme des Hinweises zuständige Person entsprechend qualifiziert und geschult ist. Befragungen zeigen indes, kaum mehr als die Hälfte waren mit ihrem ersten Ansprechpartner (eher) zufrieden.7 Dabei handelte es sich zumeist um Personen wie der Vorgesetzte, spezielle Ansprechperson oder dem CO.

Abb. 8: Zufriedenheit mit dem Erstkontakt bei der Hinweisgabe

Sehr zufrieden	Eher zufrieden	Teils/teils	Eher nicht zufrieden	Nicht zufrieden
37 %	20 %	24 %	11 %	9 %

VI. Fazit

Die Inkraftsetzung des HinSchG schafft lediglich den rechtlichen Rahmen für die Kulturarbeit und hat für sich genommen nur begrenzte Auswirkungen auf die Hinweisgeberkultur. Gleiches gilt für die Einführung eines internen Meldekanals: Sie stellt zwar eine notwendige Voraussetzung dar, ist jedoch lediglich Ausgangspunkt und Startpunkt für die Entwicklung einer gelebten Hinweisgeberkultur. Hier schwächeln die meisten Unternehmen. Das Potenzial eines CMS kann daher ohne Hinweisgeberkultur nicht genutzt werden. Es kann immer zu, teils gravierenden, Compliance-Verstößen kommen. In der gesamten Gesellschaft gibt es keine kriminalitätsfreien Zonen, dies gilt auch für Unternehmen.

Insbesondere in Konstellationen in denen der innerbetrieblich vorgesehene und tatsächlich häufigste Ansprechpartner (60 %) selbst als Tatbeteiligter in Betracht kommt: der Vorgesetzte. In diesen Fällen besteht das geringste Entdeckungsrisiko, wenn die Hürden durch eine unzureichende Implementation des Hinweisgebersystems zu hoch sind und es am Vertrauen zu alternativen Meldewegen fehlt.

---