Dr. Gerd Eidam

03-2014

§ 25a Absatz 1 Satz 6 Nr. 3 Kreditwesengesetz

1 Am 1. Januar 2014 sind im Rahmen des sogenannten CRD-IV-Pakets[1] auch umfangreiche Änderungen des Kreditwesengesetzes (KWG) in Kraft getreten.[2] Für den Compliance-Bereich der Finanzinstitute ist hierbei die Regelung des neu eingeführten § 25a Absatz 1 Satz 6 Nr. 3 KWG von besonderer Bedeutung. Der Gesetzgeber verlangt nämlich nunmehr von den Instituten, dass sie – ohne Einräumung einer Übergangszeit – mit Wirkung vom 1. Januar 2014 an als weitere Compliance-Maßnahme ein sogenanntes Hinweisgeber-System bereitstellen. Mit dieser Vorschrift befassen sich die nachstehenden Erläuterungen.

2A. Das neue Hinweisgeber-System

3 Die BaFin[3] begründet die prinzipiell verpflichtende Einführung des Hinweisgeber-Systems lapidar wie folgt:

„Auch die Governance-Vorschriften sind mit der CRD IV überarbeitet worden. In der Finanzkrise waren Mängel in der internen Risikosteuerung der Institute sichtbar geworden. Kernelement der neuen Regelungen ist eine intensivere Überwachung der Risiken durch die Geschäftsleiter und die Verwaltungs- oder Aufsichtsräte. Auch der unternehmerischen Risikosteuerungsfunktion und der Nachhaltigkeit der Geschäftsstrategie kommt eine größere Bedeutung zu. Ferner werden strengere Anforderungen an die Zusammensetzung und Qualifikation der Geschäftsleitung und der Verwaltungs- oder Aufsichtsräte gestellt.“[4]

„In diesem Sinne hat die Aufsicht mit der Anpassung des § 25a KWG sowie der Veröffentlichung der Mindestanforderungen für das Risikomanagement (MaRisk[5] – Rundschreiben 11/2010 (BA)) den Instituten einen Rahmen vorgegeben, welcher der Umsetzung der qualitativen Anforderungen der maßgeblichen EU-Richtlinien in den Instituten dient. Nach Maßgabe dieses qualitativen Rahmens haben die Institute ein angemessenes Risikomanagement einzurichten. Das bedeutet vor allem, dass unter Berücksichtigung der Risikotragfähigkeit angemessene Strategien und angemessene interne Kontrollverfahren festgelegt werden sollen.“[6]

4 B. Was meint ‚Whistleblowing?

5 Der Begriff ‚Whistleblower‘, auf Deutsch steif ‚Hinweisgeber‘‚ polarisiert trotz der aktuellen, weltweit meist positiv aufgenommenen Enthüllungen des US-amerikanischen Whistleblowers Edward Joseph Snowden über die ausufernden Überwachungs- und Spionagepraktiken anglo-amerikanischer Geheimdienste.[7] Trotzdem, ‚Whistleblowing‘ steht weiterhin vielfach für ‚verpfeifen‘, ‚verpetzen‘, ‚denunzieren‘. Es ist in dieser Verwendung im Deutschen erkennbar negativ besetzt und löst bei vielen Menschen hierzulande weiterhin ein ungutes Gefühl aus. So fragte schon die Deutsche Kreditwirtschaft in einer frühen Stellungnahme zum Gesetzentwurf:

„… ob derartige Systeme nicht dazu geeignet sind, ein Klima der Angst, der Unsicherheit und des Denunziantentums am Arbeitsplatz zu fördern.“[8]

Dabei bedeutet ‚Whistleblowing‘ im Englischen zunächst den Pfiff des Schiedsrichters, der damit das Spiel zumeist wegen eines Regelverstoßes unterbricht, also eine positive Reaktion auf einen Verhaltensfehler.

6Diether Deiseroth[9] nennt in Beantwortung der Frage, was ‚Whistleblowing‘ denn allgemein eigentlich ausmache, zutreffend die vier folgenden Kriterien:

7 1. Eine brisante Enthüllung (‚revealing wrongdoing‘) muss vorliegen, die der Hinweisgeber in seinem Arbeitsumfeld oder Wirkungskreis aufdeckt. Gegenstand der Enthüllung kann beispielsweise ein gravierendes Fehlverhalten in einem Finanzinstitut sein, dass mit erheblichen Gefahren oder Risiken für das Institut, seine Kunden oder gar für die Allgemeinheit verbunden ist oder jedenfalls sein kann.

8 2. Whistleblowing beschreibt ein „Alarmschlagen“ (‚going outside‘). Ein solches erfolgt im Regelfall zunächst intern, also im beruflichen Wirkungskreis des Hinweisgebers (‚internes Whistleblowing‘). Bleibt es dort folgenlos, wendet er sich an Außenstehende oder an die Öffentlichkeit (‚externes Whistleblowing‘).

9 3. Whistleblowing liegt zudem nur dann vor, wenn es aus primär uneigennützigen Motiven erfolgt (‚serving the public interest‘), die am Schutz gewichtiger Rechtsgüter orientiert sind. Der Hinweisgeber strebt mit seinem Whistleblowing grundsätzlich keine wirtschaftlichen Vorteile für sich an.

10 4. Schließlich nimmt der Hinweisgeber in Kauf, dass sein Alarmschlagen mit erheblichen Risiken für ihn selbst verbunden ist (‚risking retaliation‘). Das Hinweisgeben ist also aus dieser Sicht ein Akt der Zivilcourage.

11 Vor dem Hintergrund der vorstehend genannten vier Kriterien steht der Begriff ‚Whistleblower‘ also für eine Person, die schwerwiegende Missstände in ihrem Arbeitsumfeld aus primär uneigennützigen Motiven aufdeckt.[10]

12C. Ein kurzer Rekurs zur Aufsichtspflicht

13Vertrauen und Aufsicht waren stets schon zwei tragende Ecksäulen des Finanz- und Kreditwesens, wie ein knapper Blick auf die Geschichte der unternehmerischen Aufsichtspflichten belegt.

14 Das erste Kreditwesengesetz wurde als Reaktion auf die damalige deutsche Bankenkrise (1931/34) im Jahr 1934 beschlossen und trat im Folgejahr 1935 in Kraft. Auch dieses Gesetz bezweckte eine Verbesserung der Überwachungs- und Kontrollpflicht. Schon vor achtzig Jahren hielt also der Gesetzgeber eine strengere Aufsicht der Institute im Interesse eines intensiveren Schutzes der Gläubiger in ihrer Allgemeinheit und der Sicherung des öffentlichen Vertrauens in die Funktionsfähigkeit der Kredit- und Finanzdienstleistungsinstitute für erforderlich.

15 Bald 35 Jahre später, im Jahre 1968, wurde die Ahndung von Aufsichtspflichtverletzungen in Unternehmen als § 130 in das Ordnungswidrigkeitengesetz aufgenommen. Die Vorschrift bestätigt die Generalverantwortung der Leitungsebene eines Unternehmens. Sie betrifft in Verbindung mit § 9 OWiG Pflichten des Inhabers, die dieser nicht selber erfüllt, sondern die von gesetzlichen Vertretern (Vorstand, Geschäftsführer) und bestimmten Mitarbeitern (Führungskräften) wahrgenommen – und verletzt – werden. Jedes Zuwiderhandeln gegen alle Pflichten, also nicht nur gegen solche, die sich aus dem Wirkungskreis des Unternehmens ergeben, ist betroffen. § 130 Absatz 1 OWiG lautet (leicht verkürzt):

„Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um … Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.“

16§ 130 OWiG ist ein echtes Unterlassungsdelikt. Wer die ihm obliegende Aufsichtspflicht nicht wahrnimmt, kann – seit dem 30. Juni 2013 – mit bis zu zehn Mio. € Geldbuße im Einzelfall belangt werden.[11]

17 Wie im Falle des ersten Kreditwesengesetzes ist auch Schutzgut des § 130 OWiG das Interesse der Allgemeinheit, und zwar das allgemeine Interesse an der Schaffung einer innerbetrieblichen Organisation, und, wenn sie denn vom Unternehmen eingeführt wurde, zudem an der Aufrechterhaltung dieser Organisation, mit der den vom Unternehmen als der Zusammenfassung von Personen und Produktionsmitteln ausgehenden Gefahren begegnet wird.

„Es handelt sich dabei nicht nur um Sachgefahren, sondern auch um die Gefahr kriminellen Verhaltens der im Unternehmen tätigen Menschen; der Mensch wird unter den Bedingungen des arbeitsteiligen Zusammenwirkens im Betrieb zu einem Risikofaktor …“[12]

18 Die Handhabung der Aufsichtsmaßnahme ‚Kontrolle‘ muss so stringent erfolgen, dass ein Mitarbeiter, der beabsichtigt, gegen ein Verbot vorsätzlich zu verstoßen, ernsthaft mit seiner Entdeckung und den daraus resultierenden Konsequenzen rechnet und aus diesem Grunde auf die Zuwiderhandlung verzichtet.

19§ 130 OWiG ist aber auch eine sogenannte Auffangvorschrift, das wiederum heißt, die Vorschrift greift nur dann ein, wenn es keine spezielle Regelung gibt. § 25a KWG ist eine solche Spezialvorschrift. Sie geht § 130 OWiG vor.

20 Mitte der 1970er Jahre begannen Wirtschafts- und Finanzunternehmen, das politische Vorbild des Krisenmanagements, das anlässlich der Kuba-Krise im Oktober 1960 entstanden war,[13] zu übernehmen. Einer der Hauptgründe, warum es zunächst vor allem Unternehmen des anglo-amerikanischen Rechtsbereichs waren, die das Management-Modell adoptierten und ihren Bedürfnissen anpassten, ist die dort seit Beginn des 20. Jahrhunderts existierende Strafbarkeit von Unternehmen.[14] Das Vorhandensein eines ‚risk managements‘ und von ‚criminal compliance‘ kann der Entlastung eines Unternehmens von strafrechtlicher Verantwortlichkeit dienlich sein.[15]

21 Heute ist unbestritten, dass Risikomanagement eine Führungsform von erster Priorität ist. Aus diesem Grunde kann sie nur durch die Führungspersonen erfolgen, die im Unternehmen verantwortlich mitwirken bei Einführung und Umsetzung von Zielen, Strategien und Maßnahmen zur Risikovermeidung und/oder Krisenbewältigung. Auf Basis dieser Voraussetzung ergibt sich auch die Zielsetzung des Risikomanagements. Mit seiner Anwendung sollen betriebliche Prozesse vermieden (Risikovermeidung) bzw. bewältigt werden (Krisenbewältigung), welche den Fortbestand des Unternehmens substanziell gefährden bzw. unmöglich machen könnten. Systeme wie Risikomanagement und Compliance Management haben somit zwei Stoßrichtungen zum Schwerpunkt: eine rückwärts wirkende (regressive, aufklärende, bewältigende), wenn eine Straftat aus dem Unternehmen heraus bereits geschehen und bekannt geworden ist, und eine zukunftsweisende (präventive, vorbeugende, verhindernde), um für die Zukunft Straftaten zu vermeiden.

22 Die übliche Einteilung des Risikomanagements umfasst die Phasen: Risiko-Identifikation[16],Risiko-Planung, Risiko-Realisation und Risiko-Kontrolle. Es gilt die Faustregel: Sicherheit gewinnt, wer sein Risiko kennt! Um den Umfang des möglichen strafrechtlichen Risikos erahnen zu können, ist es hilfreich, einen Blick auf die einschlägigen Zahlen zu werfen.

23 Die 81.793 einschlägigen Delikte aus dem Bereich der Wirtschaftskriminalität machten im Jahre 2012 zwar lediglich 1,4% aller in Deutschland polizeilich erfassten Straftaten aus, verursachten aber mit 3,751 Mrd. € rund die Hälfte des in der Polizeilichen Kriminalstatistik für 2012 ausgewiesenen Gesamtschadens.[17] Im Bereich der Organisierten Kriminalität[18] nahm im Jahre 2012 die Kriminalität im Zusammenhang mit dem Wirtschaftsleben mit rund 427 Mio. € (ca. 38 %) den zweiten Platz ein.[19]

24 Im Jahre 1994 findet sich erstmals der Begriff ‘Compliance’ in einem deutschen Gesetz.In§ 33 Wertpapierhandelsgesetz (WpHG) heißt es zum Thema ‚Organisationspflichten‘ auszugsweise:

„Ein Wertpapierdienstleistungsunternehmen muss die organisatorischen Pflichten nach § 25a Absatz 1 und 4 des Kreditwesengesetzes einhalten. Darüber hinaus muss es angemessene Grundsätze aufstellen, Mittel vorhalten und Verfahren einrichten, die darauf ausgerichtet sind, sicherzustellen, dass das Wertpapierdienstleistungsunternehmen selbst und seine Mitarbeiter den Verpflichtungen dieses Gesetzes nachkommen, wobei insbesondere eine dauerhafte und wirksame Compliance-Funktion einzurichten ist, die ihre Aufgaben unabhängig wahrnehmen kann.“[20]

25 Am 5. März 1998 verabschiedete der Bundestag in Folge des sogenannten ARAG/Garmenbeck-Urteils[21] das Mantelgesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz: KonTraG). Ziel dieses Gesetzesbündels war und ist es weiterhin, die Corporate Governance in deutschen Unternehmen zu verbessern.[22] Die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen wurde erheblich erweitert. Der dahinter stehende Grundgedanke ist die Beachtung der Sorgfaltspflichten eines ordentlichen Kaufmanns. Zentrale Norm des KonTraG aber ist eine Vorschrift, die die Unternehmensführung dazu zwingt, ein internes Früherkennungssystem für Risiken einzuführen und zu betreiben, sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. § 91 Absatz 2 AktG verlangt wörtlich, dass der Vorstand die Pflicht hat, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”. Das Risikomanagement wurde so zur zentralen Organisationspflicht der Unternehmensleitung.

26 Abschlussprüfer, die seitdem vom Aufsichtsrat beauftragt werden müssen, sind zudem gehalten, die Einhaltung der neuen Vorschriften auch im Hinblick auf Bestehen und Betrieb eines Risikomanagementsystems und der zugehörigen Maßnahmen im Bereich der internen Revision zu prüfen und ihr Prüfungsergebnis zum Bestandteil des Prüfungsberichtes zu machen.

27Zu ‘best practice’ in Bezug auf Corporate Governancegehört auch, dassimmer mehr Unternehmen Hinweisgeber-Systeme als weitere Compliance-Maßnahme einführen.[23] Zweck dieser Maßnahme ist, Offenheit im Unternehmen zu schaffen und unlautere Praktiken zu melden, die gegen die Unternehmensethik, interne Verhaltensregeln oder geltende Gesetze verstoβen. Es sollen lediglich ernste Missstände gemeldet werden, beispielsweise Fälle der Wirtschaftskriminalität, wesentliche Verletzungen der Arbeitssicherheit und von Umweltvorschriften sowie Vorkommnisse physischer Gewalt, sexuelle Belästigungen und Mobbing.

281. November 2007 erhielt die betriebliche Organisationspflicht für Finanzinstitute Gesetzesrang, in dem die EU-Durchführungsdirektive (2006/73/EG) zur Umsetzung der Finanzmarktrichtlinie führte, und diese wiederum zur Aufnahme der Organisationspflicht in § 25a KWG 2007. Die Folge hiervon war, dass die Finanzinstitute verpflichtet wurden, ihre betriebliche Organisation so zu gestalten, dass im Interesse der Risiko-Identifikation „die Risiken des Geschäfts nachweislich wirksam behandelt“ werden können. Eine gesetzliche Vorgabe, wie sie schon das Aktienrecht in § 91 Absatz 2 AktG kennt.

29 Auslöser für diese Gesetzesregelung waren unter anderem strafbare Handlungen im Banken- und Sparkassenbereich. Verfahren, wie das nachstehende Zitat belegt:[24]

„Wie bereits … geschildert, wirken in weitaus größerem Umfang als bei den aus der Geldwäsche resultierenden Risiken, Mitarbeiter eines Instituts und Kunden zum Schaden des Instituts kollusiv bei der Begehung von Taten zusammen oder Mitarbeiter sind Alleintäter oder gemeinschaftliche Täter. Zudem sind in jüngerer Vergangenheit Fälle bekannt geworden, in denen in einzelne Institute systematisch mehrere Personen als Mitarbeiter eingeschleust wurden, um institutsintern auf Betrug ausgerichtete Netzwerke aufzubauen. Vor diesem Hintergrund sollte insbesondere auch das Risiko der Gefährdung durch eigene Mitarbeiter, etwa anhand bekannt gewordener Verdachtsgründe oder Betrugsfälle, analysiert werden. Eintrittstore der organisierten Kriminalität können neben bankspezifischen Bereichen auch beauftragte Sicherheitsfirmen sein oder im Catering oder Facility Management bestehen.“

30 Doch auch nach der Aufnahme der betrieblichen Organisationspflicht des § 25a KWG 2007 fanden und finden die strafbaren Handlungen aus dem Bereich der Finanz- und Kreditunternehmen kein Ende, wie beispielsweise die wenigen Stichworte Finanzkrise,[25] BayernLB[26]/Hypo Group Alpe Adria,[27] Libor-Skandal[28], HSH Nordbank[29] (neu: der Windpark‚ Windfarm Isola Capo Rizzuto‘-Fall[30]) belegen. Alle beispielhaft genannten Fälle gefährden mehr oder weniger die Existenz oder mindern zumindest die Reputation des Unternehmens.

31 So ist ein weiteres Anziehen der Schraube ‚Betriebliche Organisationspflicht‘ durch die Verschärfung des Compliance-Maßnahmenkatalogs für Finanzinstitute nachvollziehbar, wenn der neue § 25a Absatz 1 Satz 6 Nr. 3 KWG von den Instituten ohne jede Öffnungsklauseln ab dem 1. Januar 2014 die Einführung eines Hinweisgeber-System verlangt.

32 Demneuen § 25a KWG liegt folgende Entstehungsgeschichte zugrunde:

33 In den Richtlinien der Europäischen Bankenaufsichtsbehörde[31], den ‚Guidelines on Internal Governance‘, vom 27. September 2011, dort Ziffer 17 steht, dass die Finanzinstitute ein angemessenes internes Frühwarnsystem (‚alert procedure‘) einrichten sollen; dass die Warnungen (‚alerts‘) außerhalb der üblichen Berichtswege, beispielsweise über den Compliance-Officer, die interne Revision, einen speziellen internen oder externen Whistleblowing-Kanal an das Leitungsorgan (‚management body‘) heranzutragen sind; und dass dies unter Wahrung der Vertraulichkeit für den hinweisgebenden Mitarbeiter zu gewährleisten ist.

34 Die Europäische Union hat die Vorgaben der EBA-Guidelines on Internal Governance aufgegriffen und in ihrer Richtlinie 2013/36/EU (Capital Requirements Directive IV, kurz: CRD-IV), dortArtikel 71 – Meldung von Verstößen, Absatz 1, festgeschrieben, dass die Mitgliedstaaten sicher stellen, „dass die zuständigen Behörden wirksame und verlässliche Mechanismen schaffen, um zur Meldung von drohenden oder tatsächlichen Verstößen gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie und gegen die Verordnung (EU) Nr. 575/2013 bei den zuständigen Behörden zu ermutigen.“

35 Dazu gehörennach der CRD-IV vier Mechanismen (Art. 71 Absatz 2 lit. a –d):

„a) spezielle Verfahren für den Empfang der Meldungen über Verstöße und deren Weiterverfolgung,

b) einen angemessenen Schutz für die Mitarbeiter von Instituten, die Verstöße innerhalb ihres Instituts melden, zumindest vor Vergeltungsmaßnahmen, Diskriminierung oder anderen Arten ungerechtfertigter Behandlung,

c) den Schutz personenbezogener Daten im Einklang mit der Richtlinie 95/46/EG sowohl für die Person, die die Verstöße anzeigt, als auch für die natürliche Person, die mutmaßlich für einen Verstoß verantwortlich ist,

d) klare Vorschriften, die gewährleisten, dass in Bezug auf die Person, die die in einem Institut begangenen Verstöße meldet, in allen Fällen Vertraulichkeit garantiert wird, es sei denn, eine Weitergabe der Information ist im Kontext weiterer Ermittlungen oder nachfolgender Gerichtsverfahren gemäß den nationalen Rechtsvorschriften erforderlich.“

36 Letztlich fordert die EU in ihrer Direktive: die Mitgliedstaaten verpflichten die Institute, für angemessene Verfahren Sorge zu tragen, „über die ihre Mitarbeiter Verstöße intern über einen speziellen, unabhängigen und autonomen Kanal melden können“ (Art. 71 Absatz 3).

37 Der deutsche Gesetzgeber folgte den Vorgaben aus London und Brüssel. So heißt es in der Gesetzesbegründung, dass bei der Transformation in deutsches Recht die EU-Richtlinie (CRD IV) und EBA-Guidelines aufgegriffen wurden:

„ … wobei die Ausgestaltung u.a. vom Umfang der Geschäftstätigkeit abhängig ist. Das Institut kann eine geeignete Stelle sowohl innerhalb als auch außerhalb einrichten. Bei Auslagerung muss die Vertraulichkeit der Identität der berichtenden Mitarbeiter gewahrt bleiben…“ (Seite 86)

38 Die einschlägige Gesetzespassage lautet:

„Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. Seine Angemessenheit und Wirksamkeit ist vom Institut regelmäßig zu überprüfen. Eine ordnungsgemäße Geschäftsorganisation umfasst darüber hinaus …

3. einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die Verordnung (EU) Nr. 575/2013 oder gegen dieses Gesetz oder gegen die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten.“

39 D. Die Bausteine des neuen § 25a Absatz 1 Satz 6 Nr. 3 KWG

Voraussetzung: „Prozess“

40 ‚Prozess‘[32] meint in diesem Zusammenhang nicht einen bei Gericht anhängigen Rechtsstreit oder die Hauptverhandlung in einem Strafverfahren, sondern der Begriff ‚Prozess‘ oder − synonym − ‚Geschäftsprozess‘ ist hier im betriebswirtschaftlichen Sinne zu verstehen. Nach dieser Definition ist ‚Prozess‘ eine Schrittfolge von aufeinander aufbauenden oder konsequent folgenden Handlungen, an deren Ende das gewünschte Ergebnis steht oder stehen soll. Einzelne spontane Aktionen sind somit keine Prozesse im Sinne dieser Definition. Für die Regelung des § 25a Absatz 1 Satz 6 Nr. 3 KWG bedeutet dies: Sie ergänzt als nächster Compliance-Prozessschritt das Risikomanagement eines Instituts auf dem Weg hin zur perfekten Betriebsorganisation.

Voraussetzung: „der es den Mitarbeitern … ermöglicht“

41 Mitarbeiter oder Mitarbeiterin eines Unternehmens oder Instituts zu sein, setzt voraus, dass eine arbeitsvertragliche Verbindung zwischen Arbeitgeber und Arbeitnehmer besteht. Das Kriterium ‚Arbeitsvertrag‘ bedeutet im Sinne des § 25a Absatz 1 Satz 6 Nr. 3 KWG also, dass Hinweisgeber lediglich die Beschäftigten eines Instituts sein können; nicht hingegen aber Personen, die für das Unternehmen auf sonstige Weise tätig sind. Auch die gesetzlichen Vertreter (Vorstände, Geschäftsführer), die dem Unternehmen durch einen Dienstvertrag verbunden sind, fallen demnach eigentlich nicht unter den Begriff ‚Mitarbeiter‘. Diesen Ausschluss wird der Gesetzgeber aber wohl kaum gewollt haben; denn bei mehrköpfigen Leitungsgremien wird nie kategorisch die Anwesenheit eines, zumindest eines Schwarzen Schafs ausgeschlossen werden können. Man denke nur an die Stichworte: Sachsen LB, Bayern LB oder den HSH Nordbank/Omega 55-Fall. Dagegen sind Außenstehende, im Rechtsdeutsch ‚Dritte‘ geheißen, wie Kunden, ortsfremde Passanten, Lieferanten mit Gewissheit keine Mitarbeiter.

Voraussetzung: „unter Wahrung der Vertraulichkeit ihrer Identität“

42 Nach § 4 Absatz 1 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten lediglich dann zulässig, wenn die Maßnahme gesetzlich erlaubt ist. An zwei Beispielen soll die gesetzlich zulässige Maßnahme verdeutlicht werden:

43 Der beauftragte Abschlussprüfer erhebt Daten für vergleichende Analysen im Rahmen seiner Jahresabschlussprüfung. Diese Vorgehensweise deckt § 320 Absatz 2 Satz 1 Handelsgesetzbuch (HGB). Ebenfalls zulässig ist, dass Sparkassen gemäß § 25c Absatz 2 KWG angemessene Datenverarbeitungsanlagen zur Vermeidung betrügerischer Handlungen unterhalten.

44 Neben der grundsätzlich nicht zulässigen Erhebung, Verarbeitung und Nutzung personenbezogener Daten bildet der Schutz von Persönlichkeitsrechten eine weitere Beschränkung des BDSG; es ist Sinn und Zweck des Gesetzes, dass der einzelne Bürger nicht durch den Umgang mit seinen personenbezogenen Daten in seinen Persönlichkeitsrechten verletzt werden soll. So heißt es in § 1 Absatz 1 BDSG:

„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.”

45 Zu diesen Daten gehören auch Angaben, die ausschließlich der Identifizierung der Person dienen. Daraus folgt wiederum eindeutig, dass die Anforderungen des § 25 Absatz 1 Satz 6 Nr. 3 KWG erheblich weiter gehen als die Vorgaben des BDSG; denn die Prämisse des KWG lautet: Der Hinweisgeber darf nicht bestimmbar sein.

46 Das kann ein schwieriges Unterfangen sein, wie das folgende Beispiel zeigt: In einer kleinen Sparkasse sind in einer Abteilung fünf Mitarbeiter beschäftigt. Einer davon erhält Kenntnis, dass drei seiner Kollegen mit externen Personen kriminell zum Nachteil der Sparkasse kooperieren. Wie könnte da die Identität des einzelnen Mitarbeiters verbindlich gewahrt werden, wenn er intern seinen Vorgesetzten informiert?

Voraussetzung: „Verordnung (EU) Nr. 575/2013“[33]

47 Die Verordnung umfasst 337 Seiten. Die wenigsten Beschäftigten von Banken und Sparkassen werden die umfangreiche Verordnung gelesen haben. Noch bedeutend weniger werden die Verordnung in all ihren Details und mit all ihren mathematischen Formeln verstanden haben.

48 Es ist eine inflationäre Tendenz erkennbar. Die ‚Capital Requirements Directive‘, kurz: CRD IV Basel I geheißen, trat Ende der achtziger Jahre mit einem Umfang von gerade einmal 30 Seiten in Kraft. 1996 folgten Risikoergänzungen. 1998 kamen die Mindestanforderungen ‚Handel‘ und 1999 die Mindestanforderungen ‚Kredit‘ hinzu, ebenfalls mit jeweils etwa 30 Seiten Text. Basel II (2004) umfasste bereits 350 Seiten. Und die Umsetzung von Basel III (2013) benötigte allein auf der Ebene I (Level I) 1.600 Seiten; hinzu kommen noch die Level II Regulierungen (Technical Standards), etwa 150 an der Zahl, mit geschätzt weiteren 3.000 Seiten. Diese inflationäre Tendenz sollte sich jeder vor Augen führen, der nach noch mehr Finanzmarktregulierung ruft.

49 Nach § 54 Absatz 5 KWG handelt ordnungswidrig, wer in den dort enumerativ aufgeführten Fällen vorsätzlich oder fahrlässig gegen die Verordnung (EU) Nr. 575/2013 verstößt. Die in § 54 Absatz 6 KWG angedrohten Höchstgeldbußen sind oft drastisch.

Voraussetzung: „gegen dieses Gesetz“

50Die neu gefasste Vorschrift des § 25h KWG − Interne Sicherungsmaßnahmen − lautetin ihrem ersten Absatz:

„Institute sowie nach § 10a Absatz 2 Satz 2 oder 3 oder nach § 10a als übergeordnetes Unternehmen geltende Finanzholding-Gesellschaften und gemischte Finanzholding-Gesellschaften müssen unbeschadet der in § 25a Absatz 1 dieses Gesetzes und der in § 9 Absatz 1 und 2 des Geldwäschegesetzes aufgeführten Pflichten über ein angemessenes Risikomanagement sowie über Verfahren und Grundsätze verfügen, die der Verhinderung von Geldwäsche, Terrorismusfinanzierung oder sonstiger strafbarer Handlungen, die zu einer Gefährdung des Vermögens des Instituts führen können, dienen. Sie haben dafür angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen und zu aktualisieren sowie Kontrollen durchzuführen. Hierzu gehört auch die fortlaufende Entwicklung geeigneter Strategien und Sicherungsmaßnahmen zur Verhinderung des Missbrauchs von neuen Finanzprodukten und Technologien für Zwecke der Geldwäsche und der Terrorismusfinanzierung oder der Begünstigung der Anonymität von Geschäftsbeziehungen und Transaktionen.“

51 Das „Gesetz zur Abschirmung von Risiken und zur Planung der Abwicklung und Sanierung von Kreditinstituten und Finanzgruppen“ vom 17. Mai 2013 führte zu neuen Straftatbeständen für Geschäftsleiter von Kredit- und Finanzdienstleistungsinstituten (§ 25c KWG in Verbindung mit § 54a KWG) und zeichnet sich durch einen hohen Strafrahmen aus. So kann die vorsätzliche Verletzung wesentlicher Sicherungs- und Risikomanagementpflichten mit Freiheitsstrafe bis zu fünf Jahren belangt werden. Für fahrlässige Verstöße sind niedrigere Strafen vorgesehen.

52 Auf eine Einschränkung soll hingewiesen werden: Strafbar sind solche Pflichtverstöße nur, wenn sie zu einer tatsächlichen Krise des Unternehmens führen, wenn also das Kreditinstitut in seinem Bestand gefährdet ist. Oder umgekehrt: Strafrechtliche Konsequenzen unterbleiben, solange eine Pflichtverletzung im Bereich des Risikomanagements keine Unternehmenskrise herbeiführt.

53 Zur Einhaltung dieser Sicherungspflichten kann die BaFin darüber hinaus Anordnungen treffen. Zuwiderhandlungen gegen diese Anordnungen werden als Ordnungswidrigkeit mit Bußgeldern bis zur Höhe von 200.000.- EUR geahndet.

54 Vor dem beschriebenen Hintergrund sind Geschäftsleiter gut beraten, wenn sie frühzeitig darauf geachtet haben, die ihnen nach dem neu eingeführten Pflichtenrahmen obliegende Organisations- und Sicherungspflichten – hier insbesondere die Vorgaben des KWG hinsichtlich eines wirksamen Risikomanagements − zu überprüfen und, wenn notwendig, anzupassen bzw. zu erfüllen. Insbesondere sind auch die notwendigen Anpassungsmaßnahmen hinsichtlich bereits eingeführter Kontroll- und Krisenmanagementprozesse rechtzeitig auf ihre Übereinstimmung mit dem KWG zu überprüfen.

55 Zur Einhaltung dieser Sicherungspflichten kann die BaFin über das Kreditwesengesetz hinaus Anordnungen treffen. Zuwiderhandlungen gegen diese Anordnungen werden mit Bußgeldern bis zu 200.000 € geahndet.

56 Hinzu kommt als eine für die Reputation des betroffenen Unternehmens oder dessen gesetzlichen Vertreter höchst unangenehme „Nebenstrafe“, die Veröffentlichung der Ahndung durch die BaFin:

„§ 60b KWG – Bekanntmachung von Maßnahmen[34]

(1) Die Bundesanstalt soll jede gegen ein ihrer Aufsicht unterstehendes Institut oder Unternehmen oder gegen einen Geschäftsleiter eines Instituts oder Unternehmens verhängte und bestandskräftig gewordene Maßnahme, die sie wegen eines Verstoßes gegen dieses Gesetz, den dazu erlassenen Rechtsverordnungen oder den Bestimmungen der Verordnung (EU) Nr. 575/2013 verhängt hat, und jede unanfechtbar gewordene Bußgeldentscheidung nach Maßgabe der Absätze 2 bis 4 unverzüglich auf ihren Internetseiten öffentlich bekannt machen und dabei auch Informationen zu Art und Charakter des Verstoßes mitteilen. Die Rechte der Bundesanstalt nach § 37 Absatz 1 Satz 3 bleiben unberührt.

(2) Die Bekanntmachung einer unanfechtbar gewordenen Bußgeldentscheidung nach § 56 Absatz 4c darf keine personenbezogenen Daten enthalten. …“[35]

Voraussetzung: „gegen die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen“

57 Hierzu zählen beispielsweise: Verordnung über die angemessene Eigenmittelausstattung von Instituten, Institutsgruppen und Finanzholding-Gruppen (SolvabilitätsVO – SolvV); Verordnung über die Erfassung, Bemessung, Gewichtung und Anzeige von Krediten im Bereich der Großkredit- und Millionenkreditvorschriften des Kreditwesengesetzes (Großkredit- und MillionenkreditVO – GroMiKV); Verordnung über die Liquidität der Institute (LiquiditätsVO – LiqV); Verordnung über vertraglich gebundene Vermittler (KWG-Vermittlerverordnung – KWGVermV) und auch die Verordnung über die Anzeigen und die Vorlage von Unterlagen nach dem Kreditwesengesetz (AnzeigenVO – AnzV).[36]

Voraussetzung: „etwaige strafbare Handlungen innerhalb des Unternehmens“

58 Aus der Formulierung der Vorschrift ergibt sich, dass Außenstehende nicht verantwortlich sind für internes Fehlverhalten des Finanzinstituts und seiner Angehörigen. Externe sind eben weder Schutz- noch Überwachungsgaranten des Unternehmens. Aus diesem Grunde kann und will der Gesetzgeber Dritte auch nicht durch das Kreditwesengesetz in die Pflicht nehmen.

59 Zu den „sonstigen strafbaren Handlungen“ im Sinne des § 25h Absatz 1 KWG[37] zählen vor allem[38]: Das Gesamtsystem der Betrugs- und Untreue-Tatbestände (§§ 263 ff. StGB), Diebstahl (§§ 242 ff. StGB), Unterschlagung (§ 246 StGB), Raub und räuberische Erpressung (§§ 249 ff. StGB); sowie die Delikte des Wirtschaftsstrafrechts, Korruption, Vorteilsnahme und Bestechlichkeit (§§ 331 ff. StGB), Begünstigung (§ 257 StGB), Straftaten gegen den Wettbewerb (§§ 298 ff. StGB); Insolvenzstraftaten (§§ 283 ff. StGB), das Ausspähen und Abfangen von Daten (§ 202a ff. StGB), Geld- und Wertzeichenfälschung (§§ 146 – 152b StGB), Geldwäsche (§ 261 StGB), Insiderstraftat (§ 14 WpHG), Marktmanipulation (§ 20a WpHG) sowie Steuerstraftaten (§§ 369 – 376 AO).

Voraussetzung: „an geeignete Stellen zu berichten“

60 Auslegungsbedürftig ist der Begriff ‚geeignet‘. Was meint der Gesetzgeber damit? Im Gesetzentwurf ist nur die Rede von ‚internen Hinweisen, die an eine vom Finanzinstitut zu bestimmende Stelle gehen sollen‘. Daraus könnte man schließen, dass der Gesetzgeber der Information einer internen Stelle durch den Hinweisgeber das Wort redet.[39] Aber warum?

61Allgemein gilt: § 25a Absatz 1 Satz 6 Nr. 3 KWG fordert von jedem Finanzinstitut die Einführung eines Hinweisgeber-Systems. Wer also das interne Whistleblowing in seinem Institut vernachlässigt oder gar unterdrückt, wird nicht nur externes Whistleblowing ernten, sondern verletzt auch die ihm obliegenden gesetzlichen Organisations- und Aufsichtspflichten. Der nachstehende Abschnitt befasst sich mit den Vor- und Nachteilen der einzelnen Modelle.

62 E. Vor- und Nachteile einer institutsinternen Stelle

63 Interne Frühwarnsysteme senken die Wahrscheinlichkeit von Straftaten und sonstigem Fehlverhalten im Unternehmen grundsätzlich dann, wenn jeder Mitarbeiter seine einschlägigen Beobachtungen anonym und risikolos an eine dafür eingerichtete zentrale interne Stelle melden kann.

64a)Pro-interne Argumente:

65 Ein Institut, das keine geeignete Anlaufstelle bietet, spielt zudem mit einer Zeitbombe; denn es treibt seine Mitarbeiter an die Öffentlichkeit oder direkt zur Staatsanwaltschaft. Dieses Ergebnis aber sollte ein Institut wegen des damit regelmäßig verbundenen Image-Schadens sowie etwaiger rechtlicher Konsequenzen fürchten. Beruht doch das Vertrauen der Kunden maßgeblich auf dem Ansehen, der Reputation eines Instituts.

66 Die Unterrichtung des direkten Vorgesetzten? Kritisch! Was ist, wenn der Inhaber der internen Stelle auch die Compliance-Funktion ausübt? Eine unsichere Konstellation. Gleiche Unsicherheit gilt für die Angehörigen des Instituts, welche in der Rechts- bzw. Revisionsabteilung oder als Antikorruptions- bzw. Geldwäschebeauftragte tätig sind. Wie wird ein vom Hinweisgeber kontaktierter Mitarbeiter, der beispielsweise Hinweisempfänger und Compliance-Officer zugleich ist, mit dieser Interessenkollision umgehen?

67 Eine interne Telefon-Hotline ist kein geeignetes System für eine Anonymitätsgarantie!

Geeignet ist der Aufbau eines internen elektronischen Systems. Doch auch hier stellen sich Fragen, wie zum Beispiel: Wer im Institut liest die elektronisch eingehende Information des Hinweisgebers, und, wer wertet diese aus? Kann ohne Zweifel ausgeschlossen werden, dass dieser Mitarbeiter an der strafbaren Handlung beteiligt ist? Wem wird er von der eingegangenen Information berichten?

68b)Pro-externe Argumente

69 Ist eine institutsexterne Stelle als Hinweisgeber-System tatsächlich besser geeignet? Auf den ersten Blick ist diese Frage zu bejahen. Doch auch hier stellen sich kritische Fragen: Schreckt der Mitarbeiter, der Informationen besitzt, davor zurück, ein Call Center oder einen Rechtsanwalt, dessen Spezialrechtsgebiet das Unternehmensstrafrecht ist, in einer anderen Stadt oder einen Ombudsmann zu kontaktieren, der von der Geschäftsleitung ausgewählt worden ist?

70 Auch die Kriminalpolizei bietet anonyme Informationsmöglichkeiten über ihre Internetportale[40] an.

In diesem Zusammenhang soll aber nicht verschwiegen werden[41], dass die Kriminalpolizei zuweilen schon den Versuch unternimmt, unter vollem Einsatz ihres personellen und technischen Potentials die Identität des ihr – zunächst – anonymen Hinweisgeber aufzudecken.

71 Falsch wäre es, die Vogel Strauß-Variante zu wählen; also quasi den Kopf in den Sand zu stecken und so zu tun, als wisse man/frau nichts.

72 Muss der Hinweisgeber nicht die Möglichkeit von für ihn lästigen Rück- bzw. Ergänzungsfragen des Rechtsanwalts oder des Ombudsmanns bedenken? Das Hinweisgeber-System sei nichts anderes, als eine das Betriebsklima vergiftende Bespitzelung. Natürlich (leider) gibt es von jeder Regel Ausnahmen. Deshalb lässt sich diese Behauptung nicht kategorisch bestreiten. Das Argument ist aber grundsätzlich haltlos. Dies belegt auch die Tatsache, dass die Unternehmen, welche die Compliance-Maßnahme ‚Whistleblowing‘ eingeführt haben, überwiegend ein anderes, ein positives Bild zeichnen.

73 Das Whistleblowing-System wird doch nur von Denunzianten missbraucht. Gewiss, solche Fälle können nie ausgeschlossen werden. Doch sie bilden die Ausnahme; denn gegen den häufigen Missbrauch interner Informationswege durch Hinweisgeber spricht, dass diese Mitarbeiter wegen der mit dem Missbrauch verbundenen Pflichtverletzung und dem Compliance-Gebot ‚Null Toleranz‘ mit der Kündigung ihres Arbeitsplatzes rechnen müssen, wenn sie

(1) ihre Anschuldigungen falsch, leichtfertig oder haltlos erheben,

(2) trotz Abhilfemöglichkeit den Vorwurf nicht zunächst intern zu klären versuchen,

(3) ohne schützenswerte Motivation handeln.

74c) Eineinstitutsneutrale Stelle:

75 Die letzte Möglichkeit für einen Hinweisgeber, der von der Bedeutung seiner Informationen für das Institut und deren Hieb- und Stichfestigkeit überzeugt ist, kann dann doch der Gang an die Öffentlichkeit sein. So zum Beispiel, wenn die kontaktierte Aufsichtsbehörde oder ein Ermittler (Staatsanwalt, Polizei) nicht sogleich die Brisanz der Informationen und die Notwendigkeit eines schnellen Eingreifens erkennt. Die Wahrscheinlichkeit, dass alle diese professionellen Behörden blind für die Tragweite von Informationen sind, ist sehr, sehr gering.[42]

76 Auch Vertreter seriöser Medien wahren die Identität ihrer Hinweisgeber. Dieser allerletzte Schritt setzt jedoch voraus: Es gibt lediglich ein institutsinternes Hinweisgeber-System, das aus Gründen des Identitätsschutzes nicht genutzt werden kann. Oder: Die vorhandene externe Stelle (Rechtsanwalt, Ombudsmann) erkennt die Problematik des Hinweisgeber-Vortrags nicht und bleibt untätig. Und die anonym angeschriebenen/angesprochenen Ermittlungspersonen werden erkennbar nicht tätig.

77Achtung! Bei Anzeichen für bandenmäßige kriminelle Handlungen im Institut (Organisierte Kriminalität, Mafia-ähnliche Struktur und ähnliches) − hier ist für den Laien die interne wie externe Reichweite des Falles nicht überschaubar − sollte der Hinweisgeber stets die neutrale Ansprechstelle (externer Rechtsanwalt oder Ombudsmann) nutzen. Wenn eine solche Ansprechmöglichkeit nicht vorhanden ist, empfiehlt es sich, eine externe Stelle (Polizei, Staatsanwaltschaft) zu informieren.

78 F. Praktische Einführung des Hinweisgeber-Systems

79Als Herangehensweise an eine angedachte interne Hinweisgeber-Lösung empfiehlt sich zunächst die Prüfung des im Unternehmen bereits Vorhandenen anhand folgender Fragen:

80 Gibt es in unserem Institut schon Möglichkeiten für die vertrauliche Weitergabe von Informationen?

Zur Beantwortung dieser Frage sind die vorhandenen Prozesse auszuwerten und deren Eignung im Hinblick auf die gesteigerten Anforderungen des neuen § 25a Absatz 1 Satz 6 Nr. 3 KWG zu bewerten.

Zusicherungen der Unternehmensleitung, die Identität anonymer Hinweisgeber werde nicht ausgeforscht und diese würden bestmöglich geschützt, sind sicher gut gemeint, jedoch nicht ausreichend. Es gilt der alte Erfahrungssatz: Die Neugierde ist alleweil stärker als jeder gute Vorsatz.

Sind sichere – (Stichwort: Garantie der Anonymität!) – und voneinander unabhängige (also mindestens zwei) Berichtskanäle vorhanden?

Wenn diese Frage verneint wird, prüfen, wie könnte die Lösung für unser Institut aussehen?

Wie können wir diese Informationswege kurzfristig funktionstüchtig einrichten?

81 Wenn ein Berichtskanal aus irgendeinem Grund (denkbare Stichworte: Silo, Chinese Wall) nicht zugänglich ist, gibt es einen zweiten – nutzbaren – Weg (das sogenannte ByPass-Modell)?

Wie groß ist der Zeitaufwand für die Installation eines solchen weiteren Kanals?

82 Falls Zweifel an der Existenz/Installation eines sicheren internen Berichtswegs bestehen, empfiehlt sich der Auf- bzw. Ausbau eines neutralen externen – und vielfach bewährten – Anwalt-/Ombudsmann-Systems.