Whistleblowing, also das Aufdecken von unmoralischen, illegitimen oder illegalen Regelverstößen oder Straftaten durch einen Insider einer Organisation, genießt seit geraumer Zeit besondere Aufmerksamkeit. Hauptverantwortlich dafür ist zunächst das – sowohl hinsichtlich Missständen als auch Organisationen – signifikant erweiterte Einsatzgebiet: Es umfasst nicht nur Wirtschaftskriminalität, Geldwäsche, unlauteren Wettbewerb, Steuervermeidung und Korruption, sondern darüber hinaus auch Missbrauch in Kirchen, Kriegsverbrechen durch die eigene Truppe, organisierte Kriminalität, Cyberkriminalität und Bestechlichkeit. Ferner resultiert der hohe Stellenwert aus zahlreichen spektakulären, durch Hinweisgeber aufgedeckten Skandalen, etwa Dieselgate, Panama-Papers, Cumex, Enron oder Wirecard.

Im Fokus der gängigen Whistleblowing-Modelle stehen dabei die Person des Whistleblowers, vor allem dessen Beweggründe, der charakteristische Rollenkonflikt („Kollege versus Nestbeschmutzer“) und seine Schutzbedürftigkeit vor dem Hintergrund von Negativ Schicksalen mehrerer „prominenter“ Whistleblower, etwa „John Doe“ bei den Panama Papers. Laut empirischen Untersuchungen (beispielsweise Global Business Ethics Survey) sehen sich mehr als ein Drittel aller Whistleblower verschiedenen Vergeltungsmaßnahmen wie Stigmatisierung, Kündigung oder Mobbing ausgesetzt. Die Palette von Schutzmaßnahmen umfasst beispielsweise die Anonymität und das Hinweisgeberschutzgesetz 2022, gegebenenfalls auch „Deals“ in Strafprozessen sowie Zeugenschutzprogramme.

Whistleblowing-Systeme
Seit einiger Zeit wird für eine Umfokussierung „vom Whistleblower zum Whistleblowing-System“ aus digitalisierten Meldesystemen, Meldestellen und rudimentären Anreizsystemen plädiert. Diese Systeme finden sich bereits im Dienstleistungsangebot vieler Unternehmensberatungen. Sie spiegeln die Skepsis gegenüber den auf Erfolgsstories basierenden Performance-Bewertungen des Whistleblowing wider, die weder den nicht-erfolgreichen Aufklärungsfällen noch den Fehlalarmen Rechnung tragen. Fraglich ist allerdings, ob diese Hinweisgebersysteme 1.0 der real existierenden Komplexität der Whistleblowing-Landschaft gerecht werden können.

Schwachstellen der Whistleblowing-Systeme 1.0
Zunächst operieren die gängigen Modelle mit einem undifferenzierten Organisationskonzept. Dies gilt sowohl für die organisatorischen Binnenstrukturen, etwa Holding-Strukturen von Konzernen, als auch für die Festlegung der Außengrenzen in Zeiten „grenzenloser“ Organisationsstrukturen. So werden durch den Supply-Chain-Ansatz (zum Beispiel §§ 8 und 9 Lieferkettengesetz) nicht nur organisationsinterne, sondern auch unternehmensexterne Missstände in Zulieferunternehmen (etwa in Gestalt von Verstößen gegen Menschen- und Arbeitsrechte, Gesundheitsschutz und Umweltschutz) zum Betätigungsfeld von unternehmensinternen Hinweisgebern.

Auch die Relevanz anderer Akteure mit Hinweisgeber-Potenzial wird nicht ausreichend gewürdigt: Die terminologische Abgrenzung von Whistleblowern gegenüber funktionsverwandten Ansätzen wie Spitzel, Denunzianten, Hacker, Leak-Journalisten, Enthüllungsplattformen, V-Leuten, Verbraucherschützern oder Spionen mündete irrtümlicherweise in deren Ausgrenzung. Noch weniger berücksichtigt wird die Rolle kollektiver Hinweisgeber wie etwa Abmahnvereine, Verbraucherplattformen, BUND oder Netzwerke wie Netzpolitik, mafianeindanke e.V. oder Transparency International.

…

Ganzheitliche Infrastruktur für Whistleblowing-Systeme 2.0
Inhaltlich umfasst das Konzept einer ganzheitlichen Infrastruktur von Whistleblowing-Systemen die Sektoren Governance-Infrastruktur (etwa Guidelines on Whistleblowing der International Chamber of Commerce, IDW PS 980: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen oder VDMA-ZVEI Code of Conduct), informationelle Infrastruktur (Kommunikationswege, Datenbanken, Überwachungskameras), organisatorische Infrastruktur (unparteiische Meldestellen), personelle Infrastruktur (Anreizsysteme, Qualifizierung im Konfliktmanagement) und kulturelle Infrastruktur. Kulturell eignen sich die Einstellungen und Mindsets einer Compliance-Kultur (zum Beispiel Vigilanzkultur, Achtsamkeit, Internationale Compliance-Standards ISO 37301 und ISO 37002:2021), während der Baustein „Vertrauenskultur“ einen Fremdkörper im Whistleblowing-Ansatz darstellt. Besser geeignet als der Aufbau einer separaten Whistleblowing-Infrastruktur ist eine Einbettung des Whistleblowing in ganzheitlich angelegte Management-Ansätze wie Governance, Risk & Compliance oder Corporate Social Responsibility sowie in das Sicherheits- und Qualitätsmanagement.

Erweiterte Aufbauorganisation
Die Implementierung von 2.0-Systemen erfordert eine Erweiterung des Spektrums der in Whistleblowing-Systeme 1.0 involvierten Akteure jenseits von Hinweisgeber und internen oder externen Meldestellen. Auf der Seite der Übeltäter gilt das für Akteure außerhalb eines Bezugsunternehmens, etwa im Upstream-Sektor der Lieferkette. Auf der Seite der Aufklärer gilt dies einerseits für weitere selbstorganisatorisch- spontan agierende Personen und Einrichtungen wie Leak-Journalisten, Me-Too-Bewegung oder wettbewerbsrechtliche Abmahnungen durch Konkurrenten beispielsweise bei Preisdumping. Andererseits gehören auch „offizielle“ Instanzen wie betriebliche Beauftragte (zum Beispiel Datenschutz, Gleichstellung und Compliance), verdeckte Ermittler, Ermittlungs- und Kartellbehörden, Rechnungshöfe oder BND (Terrorwarnungen) in das Hinweisgeberspektrum eines Whistleblowing-Systems 2.0. Dabei ist klärungsbedürftig, ob das Zusammenwirken der Akteure kooperativ, kompetitiv oder „koopetitiv“ verläuft und inwieweit es die Performance fördert oder behindert.

Umfassende Prozessorganisation
Während Whistleblowing-Systeme 1.0 sich auf die Prozesse der Detektion (Aufdeckung) und Investigation (Überprüfung) konzentrieren, decken die 2.0-Systeme mit der gleichen Intensität auch die Prozesse der Behebung (Korrektur, Sanktionieren der Täter, Entschädigen der Opfer) und der Verhinderung (Prävention) ab. Ein zentrales Anliegen ist eine schlanke Prozessorganisation mit einem Minimum an Implementierungskosten, was beispielsweise durch außergerichtliche Konfliktbeilegungen gelingen kann. Dabei lassen sich Implementierungskosten infolge der Mitwirkung von Branchenverbänden (etwa: Codes of Conduct für eine gesamte Wertschöpfungskette) und von Arbeitnehmervertretungen (Wahrung der Interessen aller involvierten Arbeitnehmer) bei der Implementierung von umfassenden Compliance- und Risk-Management-Systemen nicht radikal reduzieren. Aufgabe der Prozessorganisation ist nicht zuletzt, eine optimale Kombination einer proaktiv-präventiven Infrastruktur-Installation (etwa Meldewege, Meldestellen und Anreizsysteme) und reaktiv-palliativen Interventionen (etwa Mediation oder D&O-Versicherungen) zu bewerkstelligen.

Differenzierte Anreizsysteme
Die Anreizsteuerung 2.0 richtet sich auf das erweiterte Akteurspektrum, also auch auf Meldestellen (Motivation zur Überprüfung, Sortierung und Vorbereitung der ursachenorientierten Behebung) oder die gesamte Organisation (einschließlich drohenden Bußgeldern, wenn keine interne Meldestelle eingerichtet wird). Die Anreiz-Steuerung verfolgt eine mehrdimensionale Zielsetzung, die einerseits im Spannungsfeld zwischen „Schweigen und Aufdecken“ das Aufdecken attraktiv machen, zugleich aber andererseits den Missbrauch eines Hinweisgebersystems durch falsche Anschuldigungen vermeiden soll. Hier eignen sich D&O-Versicherung für den Schutz von Unternehmensorganen und leitenden Angestellten vor unverschuldeten und unwissentlichen Pflichtverletzungen. Für Unternehmen und Behörden ergibt sich ein motivationales Spannungsfeld zwischen der Vermeidung von internen Konflikten einerseits und der Pflege eines Compliance-Image gegenüber den Stakeholdern andererseits.

…

Fazit
Mit einer erweiterten Wissensinfrastruktur und darauf aufbauend einer Professionalisierung der Amateur-Hinweisgeber lassen sich einige Wissensdefizite in den Whistleblowing-Systemen 1.0 beheben. Allerdings kommen hierfür weder ein Wissen in Gestalt eines „Leitfadens für Whistleblower“ noch in Form abstrakter multifaktorieller Erklärungsansätze in Betracht. Auch Best- Practice-Sammlungen bieten nur eine beschränkte Hilfestellung, weil zwar Erfolge, aber keine Fehlschläge erfasst werden. Ein wissensbasiertes Empowerment von Hinweisgebersystemen kann man sich von einer Wissensbasis für das Compliance-Management erwarten, die zwei Wissensblöcke integriert: Zum einen das Fachwissen von Experten oder Insidern aus unterschiedlichen Sparten, etwa Personalführung (Diskriminierung, Mobbing), Stakeholder-Relationships, Rechnungslegung, Migration, Lieferketten oder Umweltschutz. Zum anderen das Compliance-Wissen, über welches vor allem Juristen, Kriminologen, Qualitätsmanager, Sicherheitsexperten oder Risiko-Manager verfügen. Ein erheblicher Teil dieses Wissens stammt von professionellen Compliance-Managern, etwa Ombudsleuten, Enthüllungsplattformen, Antidiskriminierungsstellen, Verbraucherzentralen, betrieblichen Beauftragten (Datenschutz, Gleichstellung), internen Abteilungen (zum Beispiel Korruption und Rechtsradikalismus bei der Polizei) und NGOs wie Lobbycontrol oder Transparency International.

Aufgeklärte Hinweisgeber können beispielsweise ein Corporate-Governance- Ranking (zum Beispiel von DAX-Unternehmen oder World Corporate Governance Index von Ländern), Corporate-Compliance-Ratings oder Sammlungen von Governance, Compliance und Risikomanagement-Fallstudien als Orientierungshilfe nutzen. Auf diesem Gebiet betätigen sich beispielsweise Verbraucherschutzzentralen, BSI, BKA, Datenschutzbeauftragte des Bundes und der Länder oder die Meldestelle der Allianz für Cybersicherheit. Diese Einrichtungen sind aufgrund ihrer Professionalität für die konterkarierenden Strategien des Wissensabbaus sensibilisiert und lassen sich – im Gegensatz zu manchen potenziellen Hinweisgebern – durch diese nicht demotivieren.
 

• Der komplette Artikel ist im ► Onlineshop von Lemmens Medien erhältlich. Den Abonnenten der Zeitschrift Wissenschaftsmanagement steht der gesamte Beitrag in ihren Accounts zum kostenlosen Download zur Verfügung.

Prof. Dr. Michael Reiss ist Emeritus am Lehrstuhl für Organisation der Universität Stuttgart. Er hat mehr als 500 Publikationen auf den Gebieten Netzwerkorganisation, strategiegerechte Organisationsgestaltung, Change Management, Unternehmertum, Personal- und Unternehmensführung sowie Projektorganisation verfasst.
Foto: privat