Die britischen Finanzaufsichtsbehörden Financial Conduct Authority („FCA“) und Prudential Regulation Authority („PRA“) haben kürzlich gegen den Chief Executive Officer der Barclays Group eine Geldbuße von GBP 642.430 (etwa EUR 732.000) verhängt. Hintergrund des Verfahrens waren Bemühungen des CEO, die Identität eines Whistleblowers aufzudecken. Die Finanzaufsichtsbehörden sahen darin einen Sorgfaltspflichtverstoß des CEO und leiteten Ermittlungen gegen ihn ein. Als Folge des Vorfalls unterliegt Barclays fortan besonderen Überwachungs- und Prüfungsmaßnahmen der britischen Finanzaufsichtsbehörden und muss den Behörden jährlich über interne Whistleblower- und Kontrollsysteme berichten. Die britischen Finanzaufsichtsbehörden haben dabei zum ersten Mal von derartigen Maßnahmen gegen ein reguliertes Unternehmen im Zusammenhang mit Whistleblowing Gebrauch gemacht.
Hintergrund
Im Juni 2016 erhielt Barclays einen anonymen Brief eines Whistleblowers. Der Brief enthielt diverse Hinweise und Anschuldigungen, welche unter anderem die von dem CEO bei Barclays vorgenommene Einstellung eines Mitarbeiters und früheren Kollegen des CEO bei JP Morgan Chase & Co betrafen. Dieser soll auf Grund von „Unregelmäßigkeiten“ im Rahmen seiner letzten Tätigkeit bei JP Morgan Chase & Co keine taugliche Besetzung für die Position des „senior executives“ gewesen sein.
Der CEO versuchte daraufhin wiederholt, auch unter Hinzuziehung der unternehmensinternen Sicherheitsabteilung, die Identität des Whistleblowers aufzudecken.
Reaktion der Finanzaufsichtsbehörden
Nach Ansicht der britischen Finanzaufsichtsbehörden habe sich der CEO in einem Interessenkonflikt befunden. Auf Grund dieses Interessenkonflikts hätte er eine angemessene Distanz von der internen Aufklärung wahren müssen und insbesondere nicht versuchen dürfen, den Whistleblower zu identifizieren. Stattdessen hätte er zuvor bei den bei Barclays für Whistleblower zuständigen Stellen die ausdrückliche Bestätigung der Zulässigkeit seines Verhaltens einholen müssen. Dies habe der CEO nicht getan.
Nach Abschluss der Ermittlungen sahen die britischen Finanzaufsichtsbehörden daher in seinem Verhalten eine schwerwiegende Fehleinschätzung. Auf Grund der bedeutenden Rolle eines CEO seien an ihn hinsichtlich der gebotenen Sachkenntnis, Sorgfalt und Gewissenhaftigkeit grundsätzlich höhere Anforderungen zu stellen, als an sonstige Arbeitnehmer.
Diesen Sorgfaltsmaßstab habe der CEO in einer Weise verletzt, die das Vertrauen in Barclays Whistleblower-Systeme zu gefährden geeignet war. Whistleblower tragen nach Ansicht der Behörden wesentlich dazu bei, Missstände und Fehlverhalten in der Finanzdienstleistungsbranche aufzudecken. Ihr Schutz sei essentiell, um das Finanzsystem intakt zu halten. Daher sei es unerlässlich, dass Menschen die Möglichkeit haben, anonym und ohne Angst vor negativen Folgen auf Unregelmäßigkeiten hinzuweisen.
Obwohl der CEO durch sein Verhalten letztlich keinerlei persönliche Vorteile erlangte, hielten FCA und PRA eine Geldbuße in Höhe von 10% des Jahreseinkommens (!) für angemessen. Die Behörden kamen so zu einer Gesamtgeldbuße von GBP 917.800. Da sich der CEO bereits in einem frühen Stadium des Verfahrens mit den Behörden einigte und zu einem Vergleich bereit war, wurde die Geldbuße um 30% reduziert, sodass sie schließlich GBP 642.430 betrug.
Die Behörden entschieden, er könne weiterhin in seiner Position als CEO für Barclays tätig sein. Dies ist insbesondere dem Umstand geschuldet, dass der Whistleblower kein Angestellter von Barclays war. Ein Bruch der deutlich strikteren Vorschriften in Bezug auf internes Whistleblowing hätte noch weitreichendere rechtliche Konsequenzen für den CEO nach sich gezogen.
Auf Grund der Vorkommnisse hielten es die britischen Finanzaufsichtsbehörden allerdings für gerechtfertigt, Barclays einer besonderen Überwachung und Prüfung hinsichtlich des Umgangs mit Whistleblowern zu unterwerfen. So muss Barclays fortan jährlich der FCA und PRA über seine internen Whistleblower-Systeme und -kontrollen berichten. Der Fokus soll hierbei insbesondere auf Fällen liegen, in denen Anschuldigungen gegen Barclays Senior Manager erhoben werden bzw. in denen Barclays erwägt, einen Whistleblower zu identifizieren. Darüber hinaus sind Barclays Whistleblower-Beauftragte auf Senior Management-Ebene (sog. Whistleblower‘s Champions) verpflichtet, jährlich die Zuverlässigkeit der Whistleblower-Systeme und -kontrollen persönlich zu bestätigen.
Es ist das erste Mal, dass die Finanzaufsichtsbehörden entsprechende Maßnahmen gegen ein reguliertes Unternehmen im Zusammenhang mit Whistleblowing verhängen.
Auch ist ein Ende der rechtlichen Konsequenzen für das Vorgehen des CEO noch nicht erreicht. Zwar haben die britischen Finanzaufsichtsbehörden ihre Strafe bereits verhängt, der Sachverhalt wird jedoch parallel noch immer zudem von US-Behörden geprüft, deren Reaktion noch aussteht.
Ausstrahlungswirkung auf deutsche Unternehmen
Die Entscheidung der britischen Finanzaufsichtsbehörden im vorliegenden Fall grenzt die Reichweite der Unabhängigkeit und Anonymität interner Whistleblower-Systeme ab. Dennoch ist nur eine bedingte Ausstrahlungswirkung für deutsche Unternehmen gegeben. Dies ist insbesondere dem Umstand geschuldet, dass das Schutzniveau für Whistleblower in England ein höheres ist als das in Deutschland. So fordert das britischen Antikorruptionsgesetzes (UK Bribery Act) eine effektive “Compliance defense”, für welche auch Kanäle zu schaffen sind, auf denen vertrauliche und ungezwungene Hinweise gegeben werden können, die zu einer frühzeitigen Aufdeckung von Missständen führen sollen.
Seinem Geltungsbereich unterfallen dabei neben Unternehmen mit Sitz in Großbritannien, wie auch deren dazugehörigen Tochter- und Enkelgesellschaften gleichermaßen sämtliche natürlichen und juristischen Personen, die mit dem betroffenen Unternehmen assoziiert sind. Der Begriff der assoziierten Person ist entsprechend dem Guidance zum UK Bribery Act weit auszulegen, weswegen eine bloße unternehmerische Tätigkeit in Großbritannien, etwa als reiner Auftragnehmer, ob mit oder ohne Vertretungsbefugnis, genügt. Dies hat zur Folge, dass reine Exportgeschäfte ebenso hiervon umfasst sein können.
Eine entsprechende Regelung findet sich in Deutschland zum einen als Empfehlung im Deutschen Corporate Governance Kodex unter Ziffer 4.1.3. Unternehmen ohne einen entsprechenden Bezug zu Großbritannien laufen nach deutschem Recht aktuell noch keine Gefahr, dass ihnen gegenüber eine solche Geldbuße verhängt wird. Zum anderen stellen § 6 Abs. 5 GwG und § 25a Abs. 1 Ziff. 3 KWG auf die Einführung eines Prozesses ab, „der es den Mitarbeitern ermöglicht unter Wahrung der Vertraulichkeit ihrer Identität Verstöße zu melden“, was die Einführung eines (anonymen) Whistleblower-Systems zumindest impliziert.
Trotz allem ist eine Zurückhaltung bei dem Einsatz „detektivischer“ Mittel geboten. Denn der Einsatz solcher Mittel kann nicht nur negative Pressewirkung mit sich bringen, sondern kann sich ggf. auch negativ auf die Effektivität des Compliance-Programms auswirken.
Anhebung des Schutzniveaus für Whistleblower auf europäischer Ebene
Auf Grund der unterschiedlich hohen gesetzlichen Anforderungen an Whistleblower-Systeme in den jeweiligen EU-Mitgliedsstaaten will die Europäische Kommission mit Vorschlag vom 23. April 2018 durch eine neue Richtlinie Whistleblower EU-weit besser schützen und so Whistleblower, die Verstöße gegen das EU-Recht melden, ein hohes Schutzniveau anhand EU-weiter Mindeststandards garantieren. Bestandteil solcher Mindeststandards sollen dabei sog. "sichere Kanäle" für die Meldung von Missständen, sowohl innerhalb einer Organisation als gleichermaßen an Behörden, sein. Dabei ist vorgesehen, dass EU-weiter Schutz bei der Meldung von Verstößen gegen das EU-Recht explizit auch im Bereich der Finanzdienstleistungen gewährleistet werden soll. Alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als zehn Millionen Euro sollen verpflichtet werden, ein internes Verfahren für den Umgang mit Meldungen von Hinweisgebern einzuführen. Die erforderlichen Schutzmechanismen sollen klare Meldekanäle innerhalb und außerhalb der Organisation umfassen, um die Vertraulichkeit zu wahren.
Als notwendige Konsequenz der strikten Vertraulichkeit hinsichtlich der Person des Informanten wie auch des Inhaltes seiner Angaben, sollen jegliche Vergeltungsmaßnahmen untersagt und geahndet werden.
Weiterleiten