Vor kurzem ist die 2. Auflage eines Buches erschienen, das aus der Unternehmenspraxis kaum noch wegzudenken ist.
Bürkle / Hauschka / Schieffer
Der Compliance Officer
Ein Handbuch in eigener Sache
C.H.BECK. ISBN 978-3-406-79218-2
Das Werk stellt in einem Band die Stellung des Compliance Officers und sein gesamtes Aufgabenspektrum dar.
In der neuen Ausgabe finden Sie auch einen Beitrag von Rechtsanwalt Dr. Rainer Buchert, Kanzlei Buchert Jacob Partner, Frankfurt zur
Zusammenarbeit mit Ombudsleuten und Whistleblower-Systemen
Leseprobe:
Bei der Ausgestaltung und dem Betrieb von Hinweisgebersystemen trägt das Unternehmen die Verantwortung für die Einhaltung einschlägiger Rechtsvorschriften. Dies fällt regelmäßig in den Pflichtenkreis des Compliance-Officers. Bei den einzelnen Hinweisgebersystemen sind eine Reihe von tatsächlichen und rechtlichen Fragen behandelt worden, die auch für den Compliance-Officer Relevanz haben. Daher werden im Folgenden nur noch einige wenige Aspekte ergänzend beleuchtet.
Spätestens seit dem Compliance-Officer-Urteil des BGH ist klargestellt, dass Compliance-Verantwortliche eine (auf sie delegierte) Rechtspflicht trifft, Straftaten aus dem Unternehmen zu verhindern. Das schließt nach hier vertretener Auffassung die einschlägigen Verpflichtungen des Hinweisgeberschutzgesetzes ein, insbesondere die Einrichtung und den ordnungsgemäßen Betrieb von Meldestellen. Gleiches gilt für die Vorgaben des Lieferkettensorgfaltspflichtengesetzes. Dies bedeutet auch, dass solche Systeme gepflegt werden müssen und durch nachhaltige Innenwerbung und Schulungen ihre Qualität und Vitalität erhalten werden muss.
Es wird oft vernachlässigt, die Erfolge von Hinweisgebersystemen angemessen zu kommunizieren. Das ist nicht nur eine Frage der Transparenz, sondern stärkt auch das Vertrauen in solche Einrichtungen.
- Der Compliance-Officer als interner Ansprechpartner
Meldestellen nehmen Hinweise nicht nur telefonisch oder per Mail, sondern auch persönlich entgegen. Sie sind zu Letzterem auch ausdrücklich verpflichtet (§ 16 Abs. 3 HinSchG). Dadurch wird auch deutlich, dass rein elektronische Meldeverfahren den gesetzlichen Vorgaben nicht gerecht werden. Wird der Compliance-Officer von Mitarbeitern angesprochen, sollte er die Voraussetzungen schaffen, dass vertrauliche Gespräche möglich sind.
War bisher davon auszugehen, dass der Arbeitgeber ein Auskunftsrecht hatte und der Compliance-Officer von Hinweisgebern erhaltende Informationen grundsätzlich offenlegen musste, so dürfte dies durch das Vertraulichkeitsgebot in § 8 HinSchG der Vergangenheit angehören. Danach darf die Identität von Hinweisgebern ausschließlich Personen bekannt werden, die für die Entgegennahme von Meldungen oder für Folgemaßnahmen zuständig sind (§ 8 Abs. 1 HinSchG).
Dem Mitarbeiter darf aber nicht vorgegaukelt werden, dass ihm ein absoluter Schutz seiner Identität gewährt werden kann. Zum einen müssen die Meldestellen in einem Strafverfahren auf Verlangen der Strafverfolgungsbehörden die Identität offenlegen. Zum anderen muss der Compliance-Officer ggf. als Zeuge vor der Staatsanwaltschaft oder in einem Gerichtsverfahren umfassende Angaben machen und dabei auch die Identität des Mitarbeiters offenlegen, da ihm anwaltliche Privilegien fehlen. Hieran ändert auch ein möglicher Status als Syndikusanwalt nichts. Verlangt der Mitarbeiter erkennbar nach der Sicherheit, dass seine Identität geschützt wird, sollte ihn der Compliance-Officer – ehe der Hinweisgeber sein Anliegen vertieft thematisiert und darlegt – an die Ombudsperson verweisen. Dies ist seit Jahren eine bewährte Praxis.
2. Der Compliance-Officer im Dialog mit Ombudspersonen
Der Erfolg der Arbeit einer Ombudsperson hängt ganz entscheidend davon ab, wie sie an das Unternehmen angebunden und dort adaptiert wird.
Hat das Unternehmen eine Ombudsperson berufen, ist in der Regel der Compliance-Officer ihr Ansprechpartner und der Empfänger ihrer Berichte. Dabei sind die oben bereits aufgezeigten Regeln und Besonderheiten zu beachten. Insbesondere sollte der Compliance-Officer das Bewusstsein haben, dass alle Unterlagen, die von der anwaltlichen Ombudsperson in den Herrschaftsbereich und in die Obhut des Unternehmens gelangen, einer richterlichen Beschlagnahme unterliegen können.
Der Compliance-Officer bzw. sein Büro sollte der Ombudsperson regelmäßig eine Rückmeldung zu den Ergebnissen interner Ermittlungen geben. Diese gute Praxis ist nun durch das Hinweisgeberschutzgesetz insoweit auch festgeschrieben, als dem Hinweisgeber binnen drei Monaten eine Rückmeldung gegeben werden muss. Ein solcher Informationsaustausch sollte aber unabhängig davon stets erfolgen, weil viele Hinweisgeber regelmäßig nachfragen, was aus Ihrem Hinweis geworden ist.
Die Pflicht zur Rückmeldung bezieht sich auf Folgemaßnahmen, die gem. § 18 HinSchG erfolgen müssen. Dabei wird es sich oft um interne Ermittlungen (Internal Investigations) handeln. Leider sagt das Hinweisgeberschutzgesetz nichts dazu aus, wie diese ausgestaltet werden sollen. Der umstrittene Entwurf des Gesetzes zur Stärkung der Integrität in der Wirtschaft hatte hier ansatzweise in den §§ 16, 17 Regelungen enthalten. Der Gesetzentwurf wurde jedoch nach massiver (weitgehend berechtigter) Kritik auf Eis gelegt. Der Compliance Officer wird sich bis zu einer erwartbaren Neuauflage des Gesetzes daher bei Internal Investigations nach bewährten Grundsätzen richten müssen. Bei kleineren Unternehmen sollten die Verträge mit den Ombudspersonen vorsehen, dass diese zur Durchführung von internen Untersuchungen beraten.
Ungeachtet der rechtlichen Vorgaben zu Rückmeldungen an Hinweisgeber bedürfen diese aus arbeitsrechtlichen und datenschutzrechtlichen Gründen sorgfältiger Abstimmung. Taktisch-operative Gründe, z. B. bevorstehende strafprozessuale Maßnahmen wie eine Durchsuchung, können Rückmeldungen an Hinweisgeber – zumindest temporär – entgegenstehen.
…………..
3. Datenschutzrechtliche Aspekte
Nicht nur die Ombudsperson, sondern auch das Unternehmen und der Compliance Officer als Empfänger vertraulicher Hinweise muss bei der Erhebung und Verwendung personenbezogener Daten die einschlägigen Vorschriften beachten. Bei Verletzungen datenschutzrechtlicher Vorschriften drohen Schadensersatzansprüche, Unterlassungsansprüche, hohe Bußgelder und Reputationsverluste. Umfassende Kenntnisse im Datenschutzrecht sind daher für einen Compliance Officer unabdingbar.
Die für die Arbeit der Meldestellen erforderlichen Datenverarbeitungsbefugnisse sind in § 10 Hinweisgeberschutzgesetz enthalten. § 10 HinSchG kann als Rechtsvorschrift gem. Art. 88 DSGVO angesehen werden. Er beinhaltet aber keine Pflicht zur Abwägung verschiedener Interessen, was wohl dafürspricht, dass ergänzend auch die Vorschriften der DSGVO zu beachten sind. Das Verhältnis zwischen § 10 Hinweisgeberschutzgesetz und Art. 6 DSGVO sowie Art. 88 Abs. 1 DSGVO in Verbindung mit § 26 BDSG erscheint noch nicht abschließend geklärt.
Bei der Bearbeitung von Hinweisen, die Mitarbeiter des Unternehmens betreffen, ist insbesondere auch § 26 BDSG zu beachten. Die Vorgaben zum Umgang mit Beschäftigungsdaten gelten auch, soweit personenbezogene Daten nicht in automatisierter Form erhoben, verarbeitet oder genutzt werden. In dem Spannungsverhältnis zwischen Aufklärungspflicht und Datenschutz geht es im Wesentlichen um die notwendigen Abwägungen der Interessen der verantwortlichen Stelle, also des Unternehmens, und der von dem Hinweis betroffenen Person.
Früher stellte sich bei Konzernen die Frage, ob Hinweise, die über ein Hinweisgebersystem erhoben worden sind, an eine zentrale Stelle, z. B. bei der Holding, weitergegeben werden dürfen, wenn sie selbständige Konzerntöchter betreffen. Unstreitig war das, wenn Hinweise das gesamte Unternehmen tangieren und unproblematisch, soweit es dazu eine Betriebsvereinbarung gab. Nun wird diese Frage….
Aus dem weiteren Inhalt
- Anforderungsprofil für Compliance Officer
- Aufgaben und Stellung im Unternehmen
- Organisationsformen der Compliance-Funktion im
- Unternehmen
- Arbeitsrechtliche Stellung und Haftung
- Compliance Officer und Mitbestimmung
- Compliance Officer und Strafrecht
- Der Compliance Officer im Konzern
- Die Rolle des Compliance Officers in der Internal
- Investigation
- Der Compliance Officer in regulierten Finanzsektoren
- Versicherungsschutz für Compliance Officer
- Berichtspflichten des Compliance Officer
Die 2. Auflage enthält auch ein neues Kapitel zu den Berichtspflichten des Compliance Officers und mit allen wichtigen Neuerungen wie HinweisgeberschutzG, LieferkettensorgfaltspflichtenG und das Themenfeld ESG.
Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.