Dieser Artikel richtet sich ausschließlich an professionelle Investoren. Bitte melden Sie sich daher einmal kurz an und machen einige berufliche Angaben. Geht ganz schnell und ist selbstverständlich kostenlos.
Das deutsche Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen, einen sicheren und vertraulichen Kanal einzurichten, über den Mitarbeiter und andere Personen Missstände melden können. Seit dem 17. Dezember 2023 müssen alle Unternehmen mit mehr als 49 Mitarbeitenden einen Meldekanal oder eine entsprechende Stelle bereitstellen. Das betrifft auch Privatbanken – unabhängig von ihrer Größe. Denn für Wertpapierinstitute und Kapitalverwaltungsgesellschaften gelten besonders strenge Regeln. Dort müssen alle Unternehmen eine Meldestelle einrichten, egal wie hoch die Zahl der Mitarbeiter ist.
Einrichtung des Hinweisgeberkanals
Isabel Bäumer, Rechtsanwältin bei Taylor Wessing, hat für das private banking magazin überprüft, wie deutsche Privatbanken das Hinweisgeberschutzgesetz umgesetzt haben. „Auffällig ist zunächst, dass einige Privatbanken, sich dazu entscheiden, den Hinweisgeberkanal eher im Intranet beziehungsweise auf der Homepage zu verstecken“, sagt Bäumer. Dabei gebe es hierfür keinen Grund. „Die interne Meldestelle darf und sollte prominent beworben werden, sodass sie für potenzielle Hinweisgeber leicht zugänglich ist“, so Bäumer.
Doch immerhin: Wer in einer Internet-Suchmaschine nach dem Namen eines Instituts mit dem Zusatz „Hinweisgebersystem“ sucht, landet schnell auf der gesuchten Seite. Dort können Hinweise entweder an eine interne Mailadresse oder einen Ombudsmann gesendet werden oder Banken – zum Beispiel Hauck Aufhäuser Lampe und Berenberg – arbeiten mit eigenen Plattformen, auf denen Hinweise gemacht und der Status der Meldung abgefragt werden kann.
Zwar besteht keine Verpflichtung, dass interne Meldestelle auch anonym eingehende Meldungen bearbeiten, weswegen sich einige wenige Privatbanken dazu entschieden haben, diese Meldungen explizit auszunehmen, Bäumer empfiehlt jedoch das Gegenteil. „Anonyme Meldungen abzugeben, sollte stets ermöglicht werden, um in jedem Fall die Wissenshoheit über etwaige Missstände im Institut zu behalten. Dies gilt umso mehr, als dass jedenfalls Aufsichtsbehörden, zum Beispiel Bafin und Börsenaufsichtsbehörde, anonyme Meldungen zulassen müssen.“
Schutz der Hinweisgeber
In jedem Fall muss die Identität des Hinweisgebers streng vertraulich behandelt werden, um Sanktionen zu verhindern. Das beinhaltet technische Maßnahmen wie Verschlüsselung sowie organisatorische Maßnahmen wie den beschränkten Zugang zu Meldungen.
Meldungen an die Bafin
Meldungen an die zuständigen Fachabteilungen der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) als externe Meldestelle sind zulässig und von den strengen Anforderungen des Vertraulichkeitsgebots ausgenommen. Gleiches gilt gemäß § 9 Abs. 2 S. 1 Nr. 4 Var. 2 HinSchG für Meldungen nach § 109a WpHG an die in dieser Vorschrift genannten, also der Bafin, der Abschlussprüferaufsichtsstelle beim Bundesamt für Wirtschafts- und Ausfuhrkontrolle, dem Bundesministerium der Finanzen, dem Bundesministerium der Justiz und für Verbraucherschutz oder dem Bundesministerium für Wirtschaft und Energie. Das heißt, dass Hinweise, obwohl sie direkt oder indirekt die Identität des Hinweisgebers erkennen lassen, unmittelbar an diese Stellen weitergegeben werden dürfen (und müssen).
Konzernweite Hinweisgebersysteme
Weil Privatbanken häufig zu großen Bankkonzernen gehören – in Deutschland ist die Bethmann Bank eine Marke der ABN Amro Deutschland, Merck Finck Teil der luxemburgischen Quintet Group, Donner & Reuschel gehört zum Iduna-Konzern, die österreichische Schoellerbank gehört zum Unicredit-Konzern – stellt sich die Frage, ob die Banken eigene Hinweisgebersysteme einrichten müssen oder ob ein konzernweiter Kanal ausreicht.
Nach bisheriger Auffassung der EU-Kommission, die sich dazu im Sommer 2021 geäußert hat, stellt ein konzernweites zentrales Hinweisgebersystem bei der Muttergesellschaft keine zulässige Ressourcenteilung dar. „Das heißt, dass nach der EU-Auffassung Tochtergesellschaften, ein eigenes dezentrales Hinweisgebersystem einrichten müssen“, sagt Bäumer.
Das HinSchG spricht sich dagegen ausdrücklich für ein sogenanntes „Konzernprivileg“ aus, das heißt konzernweite Meldestellen bleiben zulässig. Danach kann die interne Meldestelle eines Unternehmens nicht nur beispielsweise an Anwaltskanzleien „outgesourct“ werden – so haben etwa das Bankhaus Metzler oder die Apobank einen Rechtsanwalt als Ombudsmann berufen – sondern auch innerhalb eines Konzerns zentral bei einer Konzerngesellschaft eine unabhängige und vertrauliche Stelle als Dritter im Sinne des § 14 Absatz 1 HinSchG angesiedelt werden. Bäumer betont aber: „Notwendig ist, dass die originäre Verantwortung dafür, einen festgestellten Verstoß weiterzuverfolgen und zu beheben, immer bei dem jeweiligen beauftragenden Konzernunternehmen verbleibt.“
Durchgesetzt hat sich bei den meisten privaten Finanzinstituten laut der Rechtsanwältin ein pragmatischer Ansatz, nach dem jeweils auf (Einzel)Gesellschaftsebene eine eigene Meldestelle eingerichtet wird (zum Beispiel dadurch, dass eine lokale Ansprechperson benannt wird, die gleichsam die Anforderung, „physische Zusammentreffen zu ermöglichen“, mit abdeckt).
Bearbeitung von Hinweisen
Gehen Hinweise ein, müssen Banken diese zeitnah und gründlich prüfen. Das Unternehmen ist gesetzlich verpflichtet, innerhalb von sieben Tagen eine Eingangsbestätigung an den Hinweisgeber zu senden und innerhalb von drei Monaten Rückmeldung über ergriffene Maßnahmen oder Ergebnisse zu geben. Alle eingegangenen Hinweise sowie die daraufhin ergriffenen Maßnahmen müssen dokumentiert und aufbewahrt werden und dabei das Vertraulichkeitsgebot beachtet werden. Die Dokumentation soll drei Jahre nach Abschluss des Verfahrens gelöscht werden.
Spezifische Besonderheiten für Finanzinstitute
Finanzinstitute unterliegen neben den allgemeinen Anforderungen des HinSchG zusätzlichen Regelungen aufgrund ihrer besonderen Rolle im Wirtschaftssystem und der erhöhten Risiken im Bereich Geldwäscheprävention.
Bafin-Vorgaben
Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) stellt spezifische Vorgaben auf, wie Hinweisgeberkanäle in Finanzinstituten implementiert werden müssen. Diese umfassen detaillierte Richtlinien zur technischen Sicherheit der Meldekanäle sowie zur Schulung der Mitarbeiter im Umgang mit Hinweisen.
Geldwäscheprävention
Eine besondere Herausforderung ist, den Hinweisgeberkanal in bestehende Systeme zur Geldwäscheprävention zu integrieren. Nach dem Geldwäschegesetz (GwG) sind Finanzinstitute verpflichtet, interne Sicherungsmaßnahmen gegen Geldwäsche zu implementieren, wozu auch ein effektives Meldesystem gehört. Der Hinweisgeberkanal muss daher nahtlos in diese Strukturen eingebettet sein und spezielle Schulungen für Mitarbeiter beinhalten, um verdächtige Aktivitäten korrekt identifizieren und melden zu können.
Vorrang von bankspezifischen Spezialvorschriften
§ 4 HinSchG regelt zudem ausdrücklich die inhaltliche Verzahnung des HinSchg zu bestehenden Regelungen. Hierdurch soll sichergestellt werden, dass von mehreren denkbaren Anlaufstellen sich diejenige mit dem Sachverhalt befasst, die die größte Expertise aufweist. Im Finanzdienstleistungsbereich wird zudem durch die Subsidiarität sichergestellt, dass bestehende Unterschiede zwischen verschiedenen Unternehmensarten wie etwa Abschlussprüfer, Kreditinstitute oder Wertpapierfirmen aufrechterhalten bleiben.
Der Vorrang der bankspezifischen Spezialvorschriften. Betrifft sowohl die zuständigen Meldestellen als auch das Verfahren bei Meldungen. Hierzu gehören Regelungen, die Verstöße gegen das Geldwäschegesetz betreffen sowie Bestimmungen zu Vergütungssystemen im Kreditwesen und Datenbereitstellungsdiensten. Darüber hinaus gelten vorrangige Vorschriften für Verstöße gegen Aufsichtsrecht und strafbare Handlungen innerhalb eines Unternehmens sowie Abfindungszahlungen nach dem Versorgungsausgleichsgesetz. Weitere prioritäre Regelungen umfassen Verstöße gegen das Kapitalanlagegesetzbuch und europäische sowie deutsche Nebengesetze, ebenso wie Bestimmungen des Börsengesetzes und damit verbundene europäische Verordnungen, einschließlich Marktmissbrauchsverordnung und Transparenzverordnung.
Auch in der Wirtschaftsprüferordnung sind Vorschriften enthalten, die bei Verstößen gegen Abschlussprüfungsverpflichtungen oder Berufspflichten greift. Schließlich genießen auch Bestimmungen zur Marktmissbrauchsverordnung, insbesondere hinsichtlich Insiderhandlungen oder Marktmissbräuchen, Vorrang vor dem Hinweisgeberschutzgesetz.
Best Practice Empfehlungen für private Bankinstitute
Für private Bankinstitute ist es entscheidend, nicht nur die gesetzlichen Vorgaben umzusetzen, sondern auch Best Practices anzuwenden, um einen effektiven und vertrauenswürdigen Hinweisgeberkanal sicherzustellen. Bäumer empfiehlt daher:
- Regelmäßige Schulungen: Banken müssen sicherstellen, dass alle Mitarbeiter über den Zweck des Hinweisgeberkanals informiert sind und wissen, wie sie diesen nutzen können. Hierbei gilt es insbesondere auch hinsichtlich der Abgrenzung der für Finanzinstitute geltenden Vorschriften bezüglich bankspezifischer Verstöße zu sensibilisieren.
- Benutzerfreundlichkeit: Der Meldeprozess sollte so einfach wie möglich gestaltet werden – komplexe Prozesse könnten potenzielle Whistleblower abschrecken.
- Vertraulichkeit: Das hohe Maß an Vertraulichkeit zum Schutz der Identität des Whistleblowers muss beständig betont werden.
- Feedback-Kultur: Entwickeln Sie eine Kultur offener Kommunikation durch regelmäßiges Feedback an diejenigen Mitarbeiter, die Hinweise gegeben haben – dies fördert Vertrauen und Beteiligung.