Kann Whistleblowing auch für Ihr Unternehmen gefährlich sein?
Ja. Whistleblowing kann Unternehmen aller Größen treffen und nachhaltig Schaden anrichten. Ein Risiko durch Whistleblowing besteht somit auch für Ihr Unternehmen. In diesem Beitrag erläutern wir Ihnen als Geschäftsführer eines mittelständischen Unternehmens (KMU), welche Schäden Whistleblowing-Fälle nach sich ziehen können. Doch wie kann das Phänomen Whistleblowing als solches erklärt und abgegrenzt werden? Welche unterschiedlichen Dimensionen kann der Schaden annehmen? Und welche Faktoren sind ausschlaggebend, um ein aktives Management der Schäden zu ermöglichen?
Whistleblowing: Not my business?
Pfizer, General Electrics, die NSA, das Zentralkrankenhaus Wuhan. Alle Institutionen haben eines gemeinsam: Sie waren alle, in verschiedenen Ausprägungen, in Fälle von Whistleblowing involviert. Der wohl jüngste Vorfall ereignete sich im Zentralkrankenhaus Wuhan. Der mittlerweile an COVID-19 verstorbene Arzt Li Wenliang warnte frühzeitig vor den Gefahren des Virus, indem er seine Kollegen über das soziale Netzwerk WeChat informierte. Die Behörden werteten seine Hinweise als „unwahre Behauptungen“ und kündigten strafrechtliche Verfolgung gegen Äußerungen dieser Art an. Wenliang musste eine Unterlassungserklärung unterschreiben und konnte seinen Job behalten – mit Blick auf die Liste internationaler Whistleblower wohl eine Ausnahme.
Jenseits der „Hall of Fame”: Whistleblowing im Mittelstand
Während „Star-Whistleblower“ wie Edward Snowden oder Chelsea Manning mit ihren Enthüllungen um die NSA beziehungsweise die US-Armee weltweit für Aufsehen gesorgt haben, gibt es eine Reihe an Fällen, die nur begrenzt an die Öffentlichkeit gelangen. Die eingangs genannten Institutionen zeichnen ein Bild von der Tragweite des Phänomens Whistleblowing, allerdings ein verzerrtes. Abgesehen vom Krankenhaus Wuhan handelt es sich um große Organisationen, alle mit mindestens 20.000 Mitarbeitern.
Doch dass das Whistleblowing-Risiko auf solche Riesen begrenzt ist, ist ein Trugschluss. Auch jenseits dieser Whistleblower-„Hall of Fame“ treten Fälle auf, nämlich im Mittelstand und in entsprechendem Umfang. Laut einer Erhebung erlebten knapp 28 Prozent der deutschen Unternehmen mit 20 bis 249 Mitarbeitern im Jahr 2019 mindestens einmal illegales oder unethisches Verhalten, das heißt, teilweise auch mehrfach.
Was ist Whistleblowing? Eine Arbeitsdefinition
Die Wissenschaft ist sich uneins über die Definition und Abgrenzung von Whistleblowing zu anderen Formen der Informationsweitergabe. Erstmals verwendet wurde der Begriff 1963, als im Kontext des Vietnamkriegs US-amerikanische Geheimdokumente an das Komitee für Interne Sicherheit geleitet wurden. Der Begriff, sperrig übersetzt mit dem Blasen einer Pfeife, steht sinnbildlich für das Aufzeigen eines Missstands. Die weitverbreitete Definition fußt auf folgenden drei Kriterien:
- Ein Whistleblower ist demnach erstens Mitglied der betreffenden Organisation,
- zweitens verfügt er über belastende Informationen zu illegalen oder unethischen Vorgängen
- und drittens deckt er diese gegenüber Personen auf, um den Missstand zu beheben.
Ist Ihnen etwas aufgefallen? Eventuell das erste Kriterium. Da die Praxis zeigt, dass Whistleblowing auch von Personen außerhalb der Organisation betrieben wird, wurde dies im wissenschaftlichen Diskurs entsprechend erweitert, sodass auch Kunden und Zulieferer Whistleblower sein können (Maume Haffke*). Ferner wird unterschieden zwischen Informationsweitergabe an externe versus interne Stellen, wobei die erstgenannte oft als einzig wahres Whistleblowing gewertet wird, mit dem Argument, dass der Prozess bei interner Weitergabe grundsätzlich nicht vergleichbar ist (Farrell and Petersen in Near, Miceli²).
Gibt es Indikatoren für Whistleblowing?
Nein. Genau das macht das Phänomen so schwer greifbar. Und das äußert sich nicht zuletzt in der Breite der Vorfälle. Versuche, es in bestimmte Unternehmensgrößen, Wirtschaftssektoren oder Unternehmensbereiche einzukreisen, scheitern. Obwohl es schwerpunktmäßig Großunternehmen und Konzerne sind, in denen Whistleblowing-Fälle die Dynamik und gesellschaftliche Relevanz entwickeln, an die Öffentlichkeit durchzubrechen.
Wie aufgezeigt, ereignen sich jedoch auch in deutschen KMUs Missstände. Hebt man die Grenze auf 500 Mitarbeiter an, dürfte die Zahl der betroffenen Unternehmen wachsen. Schließlich erlebten in 2018 gut 40 Prozent der Unternehmen über dieser Grenze einen oder mehrere Missstände.
Ähnlich verhält es sich bei der Einteilung in Sektoren. Die europäische und deutsche Rechtsprechung hat zwar besonders anfällige Bereiche identifiziert und punktuell Pflichten zur Einführung von Meldesystemen eingeführt, wie etwa bei Finanzdienstleistungsunternehmen. Jedoch liegt auf der Hand, dass Vergehen wie sexuelle Belästigung oder Mobbing vor keinem Sektor halt machen.
Denn Missstände können in allen möglichen Formen auftreten. Von Gesundheits- und Umweltgefährdung über Korruption bis hin zur Datenmanipulation oder Geldwäsche: Alles kann passieren und alles passiert, wie die Erfahrung zeigt. Unternehmensbereiche wie Finanzen und Buchführung mögen zwar primär mit solchen Risiken assoziiert werden, sind aber höchstens anfälliger als andere Bereiche. Ergo: Missstände lassen sich nirgends ausschließen oder konzentrieren.
Weiterführende Informationen über den Umgang mit Whistleblowern im Ernstfall lesen Sie auch in unserem Beitrag „Machtlos gegen Whistleblower?“.
Aus Missständen können Skandale werden
Die Affären um Cambridge Analytica, die NSA und Co. haben eines zweifelsfrei gezeigt: Die Sprengkraft des Whistleblowings ist groß. Für manche, wie Cambridge Analytica, zu groß. Binnen zwei Monaten nach dem Bekanntwerden der dubiosen Geschäftspraktiken meldete das Unternehmen im Mai 2018 Insolvenz an. Egal, ob substanzlos oder nicht, das Bekanntwerden von Missständen bringt Unternehmen schnell aus ihrer gewohnten Umlaufbahn. Entlang folgender Kaskade lassen sich die verschiedenen Eskalationsstufen verdeutlichen.
Best Case
In einer perfekten Welt würde es der Geschäftsführung mit Präventionsmaßnahmen gelingen, durch klare Signale Missstände schon beim Entstehen zu verhindern. Obwohl das, wie beschrieben, kaum möglich ist, vertrauen die meisten KMUs (92 Prozent) auf solche „Signale der Geschäftsführung“ als Mittel zur Prävention. Weit dahinter folgt der Code of Conduct (67 Prozent).
Mid Case
Die Prävention gelingt nicht, dafür aber die Kanalisierung der Fälle. Ein Meldesystem sorgt dafür, dass alle Missstände in einem geregelten Prozess an vorher definierte Vertrauenspersonen weitergeleitet werden. Meldungen, die unter die Compliance-Schwelle fallen, also keinen Verstoß darstellen, werden adressatengerecht zurückgeleitet. Jene oberhalb der Compliance-Schwelle können systematisch aufgearbeitet werden – intern.
Worst Case
Sowohl Prävention als auch Kanalisierung scheitern. Der Geschäftsführung ist es nicht gelungen, den Missstand intern zu managen. Ungefiltert verlässt die Information die internen Kreise und befördert das Unternehmen mit voller Schlagseite aus seiner gewohnten Umlaufbahn. Wo Mechanismen zum kompetenten Umgang mit Hinweisen fehlen, ist nachträgliche Veröffentlichung nicht auszuschließen.
Wie entstehen Schäden für das Unternehmen?
Alle Fälle, die sich zwischen dem Mid und Worst Case einordnen, stellen eine Gefahr für das Unternehmen dar. Doch wie lässt sich diese Gefahr in den betriebswirtschaftlichen Kontext von KMUs übersetzen? Zur Beantwortung dieser Frage ist folgende Differenzierung hilfreich:
Finanzielle Schäden
Zum einen verursachen Whistleblowing-Fälle quantifizierbare, finanzielle Schäden. Einbußen entstehen dabei sowohl auf der Kosten- als auch auf der Umsatzseite.
Jeder Whistleblowing-Fall verursacht außerplanmäßige Kosten. In fast allen Fällen werden Bußgelder verhängt, je nach Urteil zu tragen vom Whistleblower, dem Unternehmen, oder beiden. Die Dimensionen solcher Zahlungen variieren. Rekordhöhe erreichte 2009 der Pharmakonzern Pfizer, welchem die illegale Vermarktung des Schmerzmittels Bextra teuer zu stehen kam. Der Konzern zahlte 2,3 Milliarden US-Dollar Strafe. Doch auch der Mittelstand hierzulande ist vor Strafzahlungen nicht gefeit. Zwar fallen diese in anderen Dimensionen an, jedoch ist das finanzielle Polster schwächer. Pfizer erzielte im Jahr der Strafzahlung einen Umsatz von gut 50 Milliarden US-Dollar – damit betrug die Strafzahlung weniger als fünf Prozent des Jahresumsatzes. Zum Vergleich: Mit dem Bestseller-Wirkstoff Lipitor erwirtschaftete der Konzern 2009 knapp fünfmal so viel (11,4 Milliarden US-Dollar)³.
KMUs hingegen verfügen in der Regel nicht über breitgefächerte Portfolios, welche Skandale eines Segmentes problemlos abfedern können. Hier kann die Strafe schnell eine Existenzbedrohung darstellen. Die Praxis zeigt, dass Whistleblowing-Fälle auch im Mittelstand beträchtliche Strafzahlungen nach sich ziehen können. Im durch Whistleblowing aufgedeckten Bottroper Apotheker-Skandal entstand eine Schadenssumme von 17 Millionen Euro, zu tragen vom mittlerweile verurteilten Apotheker. Auch die Prozesskosten sind in voller Höhe von ihm zu tragen. Generell gaben gut 30 Prozent der deutschen KMUs an, 2019 Schäden von mehr als 10.000 Euro durch Missstände erlitten zu haben, zehn Prozent sogar über 100.000 Euro.
Die Schäden für das Unternehmen sind vielfältig und oft nicht gleich am ersten Tag genau absehbar. Die finanziellen Schäden bilden den Anker für eine erste Einschätzung. Darüber hinaus wiegen aber auch umsatzseitige Schäden schwer und die Einbußen durch Verluste von Kunden oder Absatzkanälen müssen ebenfalls einkalkuliert werden. Um das ganze Ausmaß des Schadens beurteilen zu können, ist also eine ganzheitliche Betrachtung des Schadens entlang der gesamten Wertschöpfungskette des Unternehmens erforderlich.
Nicht-finanzielle Schäden
Demgegenüber stehen Schäden, die sich nicht quantifizieren lassen. Zum einen sind dies Schäden in der Außenwahrnehmung des Unternehmens. Image-Verluste sind für KMUs mit über Generationen hinweg aufgebautem Ruf besonders schmerzhaft. Umstrukturierungen oder Neuausrichtungen auf neue Geschäftsfelder können finanziell derart ressourcenintensiv sein, dass sie für KMUs nicht tragbar sind. Insbesondere Betriebe mit kleinen Produktlinien und Kundenstämmen sind in ihren Möglichkeiten zum Ausgleich des Image-Schadens limitiert.
Ein Unternehmen wie Pfizer hingegen kann seine weiße Weste verhältnismäßig schnell durch das Abstoßen des betroffenen Segments zurückerlangen. Ein Beispiel, angelehnt an das jüngste Whistleblower-Video aus der Tönnies-Kantine: Käme solches Material in Nicht-Corona-Zeiten aus einem deutlich kleineren Betrieb ans Licht, hätte dieser wohl Schwierigkeiten, sich aus der Schusslinie der öffentlichen Empörung zu ziehen.
Zum anderen können Whistleblower intern das Betriebsklima schädigen, etwa wenn Bestechungsfälle innerhalb einer Abteilung ans Licht kommen. Im Gegensatz zur Außenwahrnehmung reichen hier kleine Fehltritte in der internen Kommunikation aus, um den Sachverhalt in der Belegschaft zu streuen. Angesichts des typischerweise auf Vertrauen und kurzen Wegen bauenden Betriebsklimas kann das besonders schmerzhaft und zum Stresstest für die Mitarbeiter-Integrität werden. Umstrukturierungen, Positions- oder Standortwechsel, welche zur Entspannung des Klimas in Frage kommen, sind in KMUs mit monozentrischen Strukturen deutlich schwerer umsetzbar als in matrix-strukturierten Konzernen mit zahlreichen Standorten.
Die große Gefahr liegt hier darin, diese nicht oder nur schwer quantifizierbaren Schäden zu unterschätzen. Meist handelt es sich nicht um Einmaleffekte, sondern um tieferliegende Faktoren, die das Image des Unternehmens, den Markenwert oder das Employer-Branding-Profil des KMUs angreifen. Darum nennen deutsche Unternehmen als Grund für die Einführung von Meldesystemen meist die Stärkung des Images als integres, ethisches Unternehmen.
Die Challenge für Geschäftsführungen
Wo also ansetzen, wenn ein KMU solche Schäden begrenzen will? Vereinfacht lassen sich dazu folgende drei Faktoren in einer Gleichung ausdrücken:
Gesamtschaden = Anzahl der Fälle x Schwere des Vergehens x Kanalisierung des Vorgangs
Prävention
Die ersten zwei Faktoren zielen auf Prävention ab. Erinnern Sie sich an die genannten Eskalationsstufen. Der Best Case (erfolgreiche Unterbindung von Vergehen) ist nicht nur unwahrscheinlich, vielmehr ist er kaum steuerbar. Einen direkten Hebel für die Geschäftsführung gibt es hier nicht. Das Management der Unternehmenskultur und der Compliance kann Missständen nur entgegenwirken, sie aber nicht im Keim ersticken. Die NSA hätte viel in eine verbesserte Unternehmenskultur investieren können. Unlautere Geschäftspraktiken aus der Vergangenheit verschwinden damit jedoch nicht aus der Realität.
Kanalisierung
Der dritte Faktor ist ein Hebel, welchen Sie aktiv managen können. Er entscheidet darüber, ob aus dem Missstand ein Skandal wird oder nicht. Liegt ein Meldesystem in Ihrem KMU vor, ist dies rechtlich gesehen die erste Anlaufstelle für Ihren Mitarbeiter und wird zum Schutzschild Ihres Unternehmens. KMUs profitieren dabei von vertrauensbasierten Beschäftigungsverhältnissen. Anders als in Großunternehmen, in denen die emotionale Bindung zu Firma, Werten, Führungskräften und Kollegen tendenziell geringer ist, sind Meldesysteme in KMUs für Mitarbeiter potentiell ein geschätztes Vehikel, um adäquat auf einen Missstand aufmerksam machen zu können.
Aus „nice to have“ wird „need to have“
Der meistgenannte Grund deutscher Unternehmen für den Verzicht auf ein Meldesystem ist schlicht das Fehlen der rechtlichen Verpflichtung. Mit der EU-Whistleblowing-Richtlinie zum Schutz von Whistleblowern ändert sich das für Unternehmen mit mehr als 50 Mitarbeitern. Die Devise sollte jedoch sein: „Better safe than sorry“. Je früher Sie den Hebel der Kanalisierung bedienen, desto effektiver können Sie das Schadensrisiko minimieren. Der Aufwand der Einführung eines Meldesystems ist relativ gering, stellt man die erwähnten Kosten den nicht-finanziellen Schäden von aufgedeckten Missständen gegenüber.
Bislang bedient sich der deutsche Mittelstand laut Erhebung primär der kostengünstigen Varianten: E-Mail, persönliches Gespräch und Telefon. Hinweisgebersysteme hingegen nutzen lediglich 21 Prozent der befragten Unternehmen. Während E-Mails, persönliche Gespräche oder Telefonate Gefahr laufen, zwischen Tür und Angel angenommen zu werden oder im operativen Tagesgeschäft unterzugehen, können „always on“-Meldesysteme dezidiert in einen Prozess eingebunden werden. Dadurch signalisieren KMUs, die Integrität im Unternehmen zu fördern und empfänglich für Hinweise auf Probleme zu sein. In unserem Beitrag „Welches Hinweisgebersystem ist für Sie das Richtige?“, erhalten Sie einen Überblick über die aktuellen Optionen am Markt.
Fazit
Whistleblowing ist eine reale Gefahr für jedes Unternehmen. Missstände, selbst mit den besten Präventionsmaßnahmen, sind kaum verhinderbar. Gibt es keine internen Meldemechanismen und die Information verlässt das interne Unternehmensumfeld, fällt das Kind in den Brunnen. Ab diesem Punkt ist das Unternehmen der Öffentlichkeit ausgesetzt und kann bestenfalls Schadensbegrenzung betreiben. Finanziell hohe Einbußen können KMUs an den Rand der Existenz bringen. Durch das Hinzukommen von Reputationsschäden und ein angespanntes Betriebsklima lässt sich der Schaden schließlich weder beziffern noch kurzfristig eingrenzen. Meldesysteme können helfen, diese Risiken zu minimieren. Eine hundertprozentige Sicherheit kann zwar kein Hinweisgebersystem bieten, ein Schritt in Richtung gesteigerter Integrität ist es aber mit Sicherheit.
Laden Sie sich als nächsten Schritt unseren Leitfaden „Zur Umsetzung des Hinweisgeberschuztgesetzes in Ihrem Unternehmen?“ herunter. Oder kontaktieren Sie einen unserer Experten für ein persönliches Gespräch.
(Die verwendete männliche Form bezieht sich auf alle Personen, gleich welchen Geschlechts.)
*Maume, Haffke. 2016. Whistleblowing als Teil der Unternehmenscompliance
²Farrell, Petersen in: Near, Miceli. 1985. Organizational Dissidence: The Case of Whistle-Blowing
³Pfizer. 2009