Hinweisgebersysteme sind keine „Verpetzen-Kultur“
Im Interview: Thomas Altenbach
Hinweisgebersysteme sind keine „Verpetzen-Kultur“
Der Gründer und CEO des Start-ups Legaltegrity über die Wirkung von Meldesystemen insbesondere im Einsatz gegen Wirtschaftskriminalität
Das Frankfurter Start-up Legaltegrity bietet cloudbasierte Hinweisgebersysteme für Mittelstandsunternehmen an und hat für die Fußball-EM ein Beschwerdeportal eingerichtet. Im Interview spricht Gründer und CEO Thomas Altenbach über die Notwendigkeit solcher Meldesysteme, die damit verbundenen Hürden und Vorbehalte sowie über die Herausforderungen als Compliance-Spezialist etwa bei Daimler und der Deutschen Bank.
Das Interview führte Franz Công Bùi.
Herr Dr. Altenbach, Legaltegrity hat zur Fußball-EM für den Veranstalter ein Beschwerdeportal eingerichtet. Mit welchen Meldungen hatten Sie zu tun?
Wir stellen die technische Lösung zur Verfügung, die Meldungen gehen bei einer Rechtsanwaltskanzlei ein. Aus Vertraulichkeitsgründen haben wir keinen Einblick in die Meldungen und sehen auch nicht, wer meldet. Wir können jedoch von technischer Seite sehen, dass das Tool sehr gut genutzt wird.
Das Meldeportal basiert auf Ihrem Hinweisgebersystem. Haben Sie für die EM Anpassungen vorgenommen?
Legaltegrity ist Software as a Service, alle unsere Kunden nutzen zu 99% die gleichen Funktionen. Dazu gehört auch, vielfältige Anpassungen vornehmen zu können. Die Euro 2024 zeigt, dass Hinweisgebersysteme nicht nur im beruflichen Umfeld, sondern auch in anderen Bereichen der Gesellschaft helfen können, wie z.B. in Schulen, Sportvereinen oder Senioreneinrichtungen.
Ihr Fokus liegt auf dem Mittelstand. Welche Unternehmen mit welcher Größe decken Sie ab?
Die Spanne reicht von 30 Mitarbeitenden bis über 20.000. Unser Tool ist branchenagnostisch, und wir haben etwa 2.500 Organisationen auf der Plattform. Großkunden sind zum Beispiel Takko, Witzenmann, Frosta und Bitburger, viele typische deutsche Familienunternehmen, aber auch Versicherer wie Arag oder Sparkassenversicherungen.
Wie groß ist denn der Markt?
Derzeit haben maximal 40% der Unternehmen bereits ein gesetzeskonformes System. Der Mittelstand in Deutschland umfasst nach den jüngsten Zahlen rund 95.000 Firmen, dazu kommt der öffentliche Sektor, also insgesamt mehr als 100.000 Organisationen. Gerade bei kleineren Unternehmen ist die Umsetzungsquote noch niedrig. Hier besteht noch viel Informationsbedarf und deutliches Potenzial für uns als Anbieter.
Woran liegt diese geringe Umsetzungsquote? Seit vergangenem Winter müssen auch Unternehmen mit mindestens 50 Mitarbeitern ein Hinweisgebersystem implementieren.
Das ist vergleichbar mit der DSGVO. Da haben sich viele erst nach dem Stichtag mit dem Thema beschäftigt. Ein Grund ist die Flut regulatorischer Anforderungen. Ein zweiter Aspekt ist – wie beim Lieferkettengesetz – die Haltung: Abwarten, vielleicht geht dieser Kelch an mir vorüber. Und wir hören oft, der Gesetzgeber habe sich zwei Jahre Zeit gelassen, warum sollen wir uns beeilen?
Woran hat es gelegen, dass die Politik so lange gebraucht hat?
Das Thema hatte keine Priorität. Deutschland war neben Großbritannien das einzige Land, das sich bei der Abstimmung zur EU-Richtlinie 2019 enthalten hat. Die Briten verließen die EU kurz danach. Die deutsche Politik wollte das Thema zwar nicht verhindern, hat es jedoch auch nicht unterstützt.
Aus welchem Grund?
Gerade CDU/CSU stehen dem kritisch gegenüber, weil man die Vorteile eines solchen Systems nicht sieht. Es gibt die Angst, so etwas würde zu einer Verpetzen-Kultur führen. Im Osten wurde der Begriff „Stasikultur“ oft als Gegenargument genannt. Dabei sprechen die Zahlen eine deutliche Sprache.
Inwiefern?
Es gibt von den großen Wirtschaftsprüfungen Zahlen, die zeigen, dass die Schäden durch Wirtschaftskriminalität in Unternehmen mit Hinweisgebersystem 50% niedriger sind als bei Unternehmen ohne Hinweisgebersystem. Das deckt sich mit den Zahlen, die die Association of Certified Fraud Examiners weltweit jedes Jahr erhebt. Durch Meldungen über Hinweisgebersysteme werden Betrugsfälle, Unterschlagungen und Bilanzfälschungen doppelt so schnell entdeckt.
Was kann der Gesetzgeber tun, damit mehr Unternehmen Hinweisgebersysteme implementieren?
Druck allein hilft nicht, vielversprechender sind Erfolgsgeschichten: Beispielsweise, indem die externe Meldestelle beim Bundesamt für Justiz nicht nur die Anzahl der Meldungen und Strafverfahren nennt, sondern von Beispielen berichtet, wie Unternehmen durch Hinweise geholfen wurde, Fehlentwicklungen zu stoppen. In Deutschland gibt es zwar einen Bußgeldkatalog, aber keine Behörde, die prüft und Bußgelder verhängt. Auch dies wäre ein Hebel, die Umsetzung zu fördern.
Die Bandbreite reicht von Verstößen gegen Lieferkettengesetz oder DSGVO bis hin zu Terrorismusfinanzierung. Wo sehen Sie besondere Häufungen?
Es gibt viele Meldungen zu Belästigungen, insbesondere sexueller Art. Solche Vorfälle werden seit fünf Jahren vermehrt gemeldet, weil es in der Vergangenheit meist verschwiegen wurde und Zeugen oftmals damit nichts zu tun haben wollten. Dann gibt es viele Fälle im Bereich Betrug, Diebstahl, Unterschlagung.
Können Sie ein Beispiel nennen?
Bei der Schrott-Entsorgung wurden vermeintlich leere LKW-Container vor der Fahrt auf die Waage mit 10 Tonnen Wasser beladen. Vor dem Beladen ließ man das Wasser wieder ab. Der Laster fuhr dann nicht mit 8.000 Kilo Kupfer raus, sondern mit 18.000. Und den Mehrgewinn hat sich der Schrotthändler mit dem Mann an der Waage geteilt. Das wurde durch einen Hinweis über das Meldesystem entdeckt. Bei zahlreichen Kunden bin ich über unseren OmbuTegrity-Service als Ombudsmann tätig. Ansonsten haben wir keinen Einblick in die Inhalte, diese sind durch Verschlüsselung geschützt. Häufig geht es um sehr sensible Unternehmensinformationen.
Hätte bei einem Fall wie Wirecard ein Hinweisgebersystem geholfen?
Bei Wirecard hätte ein internes Meldesystem nicht geholfen, denn der Betrug kam von ganz oben. Interne Hinweise wären wohl beim Vorstand versandet. Aber nehmen wir unseren Kunden, Frosta. Deren Anspruch ist es, tiefgekühlte Lebensmittel ohne Zusatzstoffe zu liefern und absolut transparent zu sein. Die Geschäftsführung will intern sofort informiert werden, wenn irgendwas schiefläuft. Unsere Ansprechpartnerin dort berichtete, dass es bei der vorher genutzten E-Mail-Lösung so gut wie keine Meldungen gegeben habe. Nach Installation des digitalen Meldesystems seien im ersten halben Jahr mehrere Vorfälle so frühzeitig gemeldet worden, dass rasch reagiert und gegengesteuert werden konnte, bevor diese teure Auswirkungen hatten.
Häufig gibt es eine Asymmetrie zwischen Missetätern und Hinweisgebern. Anonymität kann zwar schützen, aber oft haben Mitarbeiter Hemmungen, dem System zu vertrauen.
Um die Vertrauenswürdigkeit zu fördern, können Unternehmen einen externen Ansprechpartner einsetzen. Damit zeigen sie, dass da jemand ist, der unabhängig von der Geschäftsleitung ist und Diskretion wahrt. Ein Rechtsanwalt verliert seine Zulassung, wenn er Informationen weitergibt. Wenn man befürchtet, dass der Fisch vom Kopf her stinkt, wie bei Wirecard, kann man sich anonym an staatliche Stellen wie Staatsanwaltschaften, BaFin oder Bundesamt für Justiz wenden. Manchmal ist der Personenkreis, der Kenntnis von fragwürdigen Vorgängen hat, so klein, dass auch Anonymität nicht schützt. Ich hatte mal einen Fall einer Person, die letztlich gekündigt hat, weil sie nicht Teil der fragwürdigen Vorgänge bei Wirecard sein wollte, aber keine andere Möglichkeit sah, unbeschadet herauszukommen.
Liegt das Kind nicht schon im Brunnen, wenn ein Sachverhalt bei einer externen Meldestelle landet?
Wenn es bei einer externen Stelle landet, hat das Unternehmen das Verfahren nicht mehr in der eigenen Hand. Wichtig sind deshalb die internen Hinweisgebersysteme. Nach unserer Beobachtung haben mehr als zwei Drittel der Unternehmen interne Ansprechpartner. Das restliche Drittel nutzt Ombudspersonen oder andere externe Dienstleister. Größere Unternehmen haben eine hauseigene Compliance-Abteilung. Je kleiner ein Unternehmen, desto wahrscheinlicher ist es, dass die Meldestelle ausgelagert wird. Bei Organisationen mit weniger als 250 Beschäftigten gibt es oft niemanden, der eine entsprechende juristische Vorbildung hat und im Umgang mit etwaigen Anschuldigungen geschult ist.
Ein Hinweisgebersystem birgt auch das Risiko von anonymen Falschanzeigen.
Statistisch gesehen stellen sich rund 8% aller Meldungen im Nachhinein als eine bewusste Falschmeldung heraus. Das sind sicher zu viele, aber eben auch nur 8%. Das ist vergleichbar mit der Zahl der bewussten Falschanzeigen bei der Staatsanwaltschaft oder Polizei.
Wie lässt sich das verhindern?
Man muss von vornherein klarmachen, dass jemand, der bewusst etwas Falsches meldet, nicht vom System geschützt wird. Das heißt, dessen Name kann offenlegt werden. Es zeigt auch, wie wichtig es ist, dass zum Schutz des eventuell zu Unrecht Beschuldigten die Unschuldsvermutung bis zum Beweis des Gegenteils anzuwenden ist.
Sie haben als Compliance-Beauftragter für Firmen wie die Deutsche Bank oder Daimler gearbeitet. Welche Erfahrung haben Sie in der Zeit gemacht?
Mein Schwerpunkt bei Daimler war Antikorruptions-Compliance und Vermeidung von neuen Fällen. Das war eine spannende Herausforderung. Bis ungefähr 2004 war die Zahlung von Bestechungsgeldern im Ausland steuerlich abzugsfähig. Da war vieles völlig normal, was auf einmal verboten war. Ein Beispiel: Der Bürgermeister einer niedersächsischen Gemeinde forderte von Daimler 2011, dass 10% des Kaufpreises für ein neues Feuerwehrauto an die lokale Jugendfeuerwehr gespendet werden. Das war ein klarer Fall von Korruption. Der Auftrag sollte nur mit einem Kickback erteilt werden, zwar nicht an den Bürgermeister direkt, aber an die Jugendfeuerwehr. Damals gab es weder beim Vertrieb noch bei dem Bürgermeister ein Unrechtsbewusstsein, Compliance hat die Transaktion gestoppt.
Gab es ähnliche Fälle bei der Deutschen Bank?
Da lagen die Dinge anders, es war dennoch herausfordernd. Auf der einen Seite sprach die damalige Doppelspitze, Anshu Jain und Jürgen Fitschen, von einem Kulturwandel. Auf der anderen Seite wollte man auf keinen Fall Geschäft verlieren. 2017 kam der Punkt, an dem ich dies als Compliance Officer nicht mehr mittragen konnte. Gefühlt habe ich jeden Tag den Stein hochgehievt, und am nächsten Morgen lag er nicht nur an der gleichen Stelle, sondern nochmal 50 Meter weiter unten.
Wie muss ich mir das vorstellen?
In einem Fall ging es um die Tochter des damaligen angolanischen Präsidenten, Isabel dos Santos. Sie war für Deutsche Bank Portugal eine der wichtigsten Kundinnen. Sie stand aber auf jeder schwarzen Liste, weil es hieß, sie habe ihr Geld dunklen Geschäften ihres Vaters zu verdanken. Dennoch wurde intern Druck ausgeübt, bestimmten Transaktionen zuzustimmen. Die Bank hat, bis die Dame dann wirklich sanktioniert wurde, immer weitergemacht. Das ist inzwischen deutlich besser geworden. Mein Learning: Wenn Compliance und Geschäft unterschiedliche Interessen verfolgen, benötigt man die Unterstützung von ganz oben, sonst funktioniert das nicht.
Zur Person:
Der Compliance-Spezialist und Rechtsanwalt Dr. Thomas Altenbach (61) hat 2019 als Gründer und CEO Legaltegrity ins Leben gerufen, einen Anbieter für Hinweisgebersysteme mit einem cloudbasierten Software-as-a-Service-Ansatz. Zuvor war er mehrere Jahre unter anderem als Head of Financial Crime Compliance Region EMEA bei der Deutschen Bank sowie als Direktor Legal & Compliance bei Daimler tätig gewesen. Überdies war er Partner bei der Kanzlei AC Tischendorf Rechtsanwälte und Mitglied einer UN-Expertengruppe zur Korruptionsvermeidung.