Versicherungsfall Whistleblowing? Die Folgen des Hinweisgeberschutzes für die Industrieversicherung

1. Das Hinweisgeberschutzgesetz

Nach zähem Ringen zwischen Bund und Ländern und mehreren Gesetzesentwürfen war es am 11. Mai 2023 so weit: Der Bundestag verabschiedete die finale Fassung des Hinweisgeberschutzgesetzes (HinSchG). Mit Wirkung zum 2. Juli 2023 ist das Gesetz in Kraft getreten.[1] Unternehmen mit mehr als 50 Beschäftigten[2] müssen nun ein internes System vorhalten, dass Hinweisgebern (auch „Whistleblower“ genannt) die Meldung von Missständen im Unternehmen ermöglicht. Für Whistleblower erhöht sich der Schutz vor möglichen Repressalien.

Die praktischen Auswirkungen des Hinweisgeberschutzgesetzes sind noch nicht absehbar. Werden künftig Missstände häufiger und frühzeitiger aufgedeckt, wie vom Gesetzgeber erhofft? Falls ja, welche Folgen hat dies auf die Anzahl und den Umfang der mit Compliance-Verletzungen verbundenen Schäden? Für Compliance-Verantwortliche ebenso wie für Risikomanager und Entscheidungsträger bedeutet der Trend zu einem gewollten Whistleblowing jedenfalls, dass sie sich mit den möglichen Folgeszenarien unternehmensspezifisch auseinandersetzen müssen.

Das gilt auch für den unternehmenseigenen Versicherungsschutz. Unter welchen Industrieversicherungen könnte Deckung für die Folgen von durch Hinweisgeber aufgedeckte Schadenfälle bestehen? Wo könnte es zu Reibungspunkten zwischen dem nun gesetzlich statuierten Hinweisgeberschutz und haftungs- sowie versicherungsrechtlichen Themen kommen? Am Beispiel der Vertrauensschadenversicherung und einem typischen Schadenszenario lassen sich erste mögliche Konfliktpotentiale erkennen.

2. Schadenszenario

Ein produzierendes Unternehmen (P) importiert unter anderem aus China vorgefertigte Teile, die es am Stammsitz in Deutschland zu Haushaltsgeräten weiterverarbeitet. 

Im Unternehmen haben sich im Laufe mehrerer Jahre verschiedene Missstände zur Geschäftspraxis entwickelt, die der neuen Mitarbeiterin der Einkaufsabteilung Frau Lupe (L) schon kurz nach ihrem Start auffallen. So pflegt das Unternehmen Zuliefererbeziehungen zu einem chinesischen Unternehmen, das laut NGO-Berichten Zwangsarbeiter einsetzen soll und vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) auf eine Rote Liste gesetzt wurde. L fällt zudem auf, dass Einkaufsleiter Herr Gierig (G) bei der Auswahl von Zuliefererangeboten mitunter fragwürdige Entscheidungen trifft, die sich weder durch Preis noch Qualität erklären lassen. Sie entscheidet sich, die Missstände über das Hinweisgebersystem zu melden.

Der für Compliance zuständige Vorstand Herr Scheuklappe (S) sieht keinen akuten Handlungsbedarf aufgrund der Meldung im Hinweisgebersystem. Er bestellt G zum Gespräch und fragt, ob es eine Alternative zu dem kritischen chinesischen Zulieferer gebe, was G verneint. Damit lässt er die Sache zunächst auf sich beruhen.

Nach einigen Monaten wendet sich L an eine NGO, um die Missstände nun dort zu melden. Die NGO prangert das Unternehmen öffentlich an. Das BAFA ermittelt daraufhin wegen möglicher Verletzungen der Sorgfaltspflichten aus dem Lieferkettengesetz. Der mittlerweile neue Vorstand der P leitet parallel interne Untersuchungen ein. Es zeigt sich, dass Einkaufsleiter G nicht nur fragwürdige Zulieferer auswählte, sondern durch Auftragnehmer auch Kickback-Zahlungen auf sein Konto überweisen ließ. P schaltet die Staatsanwaltschaft ein. 

3. Kritische Aspekte am Beispiel der Vertrauensschadenversicherung

Die Vertrauensschadensversicherung (VSV) deckt Vermögensschäden, die eigene Mitarbeiter und Dritte dem Unternehmen (als Versicherungsnehmer) durch vorsätzliches unerlaubtes Handeln zufügen. Sie stellt damit die Absicherung des Unternehmens gegen die finanziellen Folgen beispielweise von Betrug, Unterschlagung oder Untreue durch Vertrauenspersonen dar. Im Beispielszenario wäre damit das Handeln der Beschäftigten von P, also auch des Einkaufsleiters G, vom Umfang des Versicherungsschutzes gedeckt.

Mögliche unternehmenseigene Vermögensschäden, die im Beispielszenario durch G verursacht waren, wie etwa überhöhte Einkaufspreise aufgrund der Korruption des G, wären somit grundsätzlich unter der VSV gedeckt. Neben der Entschädigung des eingetretenen Vermögensschadens bis zur vertraglich festgelegten Obergrenze decken die Bedingungswerke regelmäßig auch externe Schadenermittlungskosten (z.B. durch Rechtsanwälte oder Wirtschaftsprüfer) sowie die zur Geltendmachung von Schadensersatzansprüchen gegen die Täter anfallenden Rechtsverfolgungskosten.

Bereits das Beispielszenario lässt jedoch auch erste versicherungsrechtliche Fragestellungen erkennen, die zu Auseinandersetzungen zwischen Versicherungsnehmer und Versicherer führen können. Die folgenden Punkte stellen lediglich eine Auswahl der potenziell streitigen Fragen dar.

3.1 Pflicht zu Schadenmeldung beim Eingang von Hinweisen?

Die Versicherungsbedingungen der VSV sehen vor, dass das versicherte Unternehmen den Versicherungsfall dem Versicherer nach Entdeckung unverzüglich anzuzeigen hat. Übliche Formulierungen sind beispielsweise:

„Die Versicherungsnehmerin ist verpflichtet, dem Versicherer jedes Vorkommnis, das sich nach Klärung des Tatbestands als Versicherungsfalls erweisen kann, unverzüglich nach erhaltener Kenntnis schriftlich anzuzeigen.“[3]

Eine nicht rechtzeitige Schadenmeldung kann zur teilweise oder vollständigen Leistungsfreiheit des Versicherers führen.

Im Rahmen der Regulierung fordern Vertrauensschadenversicherer regelmäßig umfangreiche Unterlagen zum Schadenfall an. Im vorliegenden Beispielszenario können hiervon auch die in der Vergangenheit im Whistleblowersystem eingegangenen Hinweise umfasst sein. Der Versicherer erhält somit sowohl Kenntnis über Missstände in den unternehmensinternen Prozessen als auch über das Wie und Wann der ersten möglichen Kenntnisnahme dieser Missstände durch die Entscheidungsträger. Der Versicherer könnte nun einwenden, dass das Vorstandsmitglied S bereits Monate vor Anzeige des Versicherungsfalls über den Eingang belastender Hinweise informiert war. Demzufolge hätte das Unternehmen bereits zu diesem Zeitpunkt eine Schadenmeldung vornehmen müssen.

Ist demnach bei jedem Hinweis eines Whistleblowers stets eine Schadenmeldung beim Vertrauensschadenversicherer vorzunehmen? Eine solch strenge Auslegung überzeugt nicht. Der Versicherungsnehmer kann bei ersten Hinweisen auf ein unerlaubtes Handeln eigener Mitarbeiter oder Dritter (unabhängig davon, woher dieser Hinweis stammt) in der Regel noch nicht erkennen, ob ein Vertrauensschaden-Versicherungsfall im Sinne der Versicherungsbedingungen eingetreten ist, der den Versicherer zur Entschädigung verpflichtet. Häufig ist zu diesem Zeitpunkt auch ein aus möglichen Verfehlungen resultierender Vermögensschaden überhaupt noch nicht absehbar. Es wird daher immer auf die Qualität des Hinweises und den Umfang der dem Unternehmen zur Kenntnis gebrachten Informationen ankommen. Im Zweifel müssen also Gerichte entscheiden. Hier besteht Konfliktpotential in der VSV. 

Eine vorsorgliche Schadenmeldung beim Versicherer ist beim Eingang ernstzunehmender Whistleblower-Hinweise in jedem Fall ratsam. Auch könnte ein solcher Hinweis bei zwischenzeitlichem Abschluss eines neuen Versicherungsvertrags unter die vorvertragliche Anzeigepflicht des Versicherungsnehmers fallen und sollte deshalb vorsorglich bereits vor Abschluss einer VSV (und auch einer D&O-Police) vom Versicherungsnehmer offengelegt werden.

3.2 Grob fahrlässige Herbeiführung des Versicherungsfalls?

In jüngerer Vergangenheit wenden Vertrauensschadenversicherer mitunter ein, das Unternehmen habe durch eine mangelhafte Compliance den Versicherungsfall mit herbeigeführt (gemäß § 81 Abs. 2 VVG). Zwar überzeugt dieses Totschlagargument nicht, da der Eintritt des Versicherungsfalls in der VSV (z.B. ein erfolgreicher Betrug) immer eine gewisse Schwachstelle in der Compliance voraussetzt und konsequenterweise somit nie vollständiger Versicherungsschutz zu gewähren wäre.[4] Dennoch müssen versicherte Unternehmen sich auf diesen Einwand in der Schadenregulierung bedauerlicherweise einstellen.

Zu einer aus Sicht des Versicherers einwandfreien Compliance dürfte seit Inkrafttreten des Hinweisgeberschutzgesetzes auch die Einrichtung eines funktionierenden Hinweisgebersystems und die zügige sowie sorgfältige Bearbeitung von Hinweisen gehören. Im Beispielszenario könnte das Unternehmen sich gegen den Vorwurf des Versicherers wehren müssen, den ersten Hinweis nicht ausreichend bearbeitet und dadurch den Schaden vergrößert zu haben. Eine Deckungsablehnung für Schäden, die nach dem Eingang des ersten Hinweises entstanden, wäre die Folge.

Auch könnte der Versicherer aus dem Hinweis der Whistleblowerin Anhaltspunkte für eine insgesamt mangelhafte Compliance in der Einkaufsabteilung ziehen (z.B. fehlendes Vier-Augen-Prinzip). Whistleblower könnten somit mit ihren Hinweisen künftig auch direkt die Argumente für die Deckungsablehnung des Versicherers liefern. 

3.3 Regress gegen Whistleblower?

Sobald ein Versicherer einen Schaden ersetzt, gehen etwaige Schadenersatzansprüche des Versicherungsnehmers gegen den Schädiger auf den Versicherer über (§ 86 Abs. 1 VVG). Der Versicherungsnehmer hat die Regressansprüche des Versicherers zu wahren und bei der Durchsetzung dieses Anspruchs durch den Versicherer soweit erforderlich mitzuwirken (§ 86 Abs. 2 VVG). 

In der Vertrauensschadenversicherung kommt diesen Regelungen besondere praktische Bedeutung zu. Immer dann, wenn ein Schädiger (wie im Beispielszenario Einkaufsleiter G) identifiziert werden kann, wird der Vertrauensschadenversicherer nach Regulierung des Versicherungsfalls die gezahlte Versicherungsleistung vom Schädiger und tatbeteiligten Dritten zurückverlangen. Regelmäßig muss in Vertrauensschadenfällen deshalb das Unternehmen als Versicherungsnehmer im Rahmen seiner Regresswahrungsobliegenheit Maßnahmen ergreifen. Dazu können die Inanspruchnahme des Schädigers auf Schadensersatz oder Sicherungsmaßnahmen (etwa die Eintragung einer Sicherungshypothek oder die Beantragung eines Arrestbefehls) gehören. Regressschädigende Maßnahmen (etwa Haftungsverzichte oder Vergleiche) hat der Versicherungsnehmer zu unterlassen.

Im Beispielszenario kann das Unternehmen daher verpflichtet sein, auch mögliche Schadensersatzansprüche gegen die Whistleblowerin L zu prüfen und falls erforderlich deren Durchsetzung einzuleiten, sofern eine Beteiligung der L an schädigenden Handlungen nicht bereits frühzeitig ausgeschlossen werden kann.

Doch wie verhält sich diese Obliegenheit zum gesetzlich verankerten Whistleblowerschutz? Wille des Gesetzgebers war es, Hinweisgeber vor Repressalien zu schützen. Sie sollen keine negativen Konsequenzen fürchten und genießen zunächst eine gewisse Haftungsprivilegierung: Für den Hinweis selbst (d.h. für die Beschaffung, Weitergabe und Offenlegung von Informationen) und dessen Folgen können Whistleblower nicht rechtlich verantwortlich gemacht werden, solange es sich nicht um eine grob fahrlässige oder vorsätzliche Falschmeldung handelt (§§ 35, 38 HinSchG).

Schadensersatzansprüche gegen Whistleblower sind dennoch nicht ausgeschlossen, wenn sich im Laufe interner oder externer Ermittlungen herausstellt, dass der Whistleblower selbst am schadenursächlichen Handeln oder Unterlassen beteiligt war. Entsprechende Haftungsansprüche dürften auch nicht unter das Verbot von Repressalien des § 36 HinSchG fallen, solange die Inanspruchnahme auf Schadensersatz (oder andere regresswahrende Maßnahmen) nicht rechtsmissbräuchlich lediglich dem Ziel dient, die hinweisgebende Person abzustrafen oder zukünftige Offenlegungen zu verhindern.[5] In der Praxis bedeutet dies, dass Unternehmen in der Regel nicht aus Gründen des Hinweisgeberschutzes von ihrer versicherungsrechtlichen Regresswahrungsobliegenheit befreit sein dürften.

4. Fazit

Whistleblowing gewinnt als Faktor der Unternehmens-Compliance künftig weiter an Bedeutung. Im besten Fall können Hinweisgeber dabei helfen, Missstände, die zu Vermögensschäden führen können, frühzeitig zu erkennen und abzustellen, bevor der Vermögensschaden eintritt oder sich vergrößert. Folgt man dieser optimistischen Perspektive einer möglicherweise besseren Schadenverhütung ist die Einführung von Hinweisgebersystemen deshalb ebenso im Interesse der Versicherungswirtschaft wie auch der versicherten Unternehmen.

Die Kehrseite der Medaille: Mangelhaft umgesetzte Hinweisgebersysteme werden Versicherer ab sofort als Indikator für eine unzureichende Compliance und fehlende Schadenverhütung werten – mit den entsprechend nachteiligen Auswirkungen auf den Versicherungsschutz nicht nur in der Vertrauensschadenversicherung, sondern etwa auch in der D&O-Versicherung und möglicherweise weiteren Sparten. 

Für die Schadenregulierung bedeutet dies zusätzlichen Konfliktstoff, etwa zu der Frage der Erforderlichkeit einer Schaden- oder Umstandsmeldung beim Eingang von Whistleblower-Hinweisen. Risikomanager sollten sich daher noch enger als bisher mit der Compliance-Abteilung und den verantwortlichen Entscheidungsträgern über die notwendigen Prozesse im Hintergrund des Hinweisgebersystems und die möglichen Risiken abstimmen.

Autor: Dr. Mark Wilhelm

Dieser Beitrag erschien zuerst in der Zeitschrift Die VersicherungsPraxis Ausgabe 09/2023

[1] Und damit mehr als anderthalb Jahre nach Ende der Umsetzungsfrist der zugrundeliegenden EU-Richtlinie (Richtlinie (EU) 2019/1937 [Hinweisgeberrichtlinie]) am 17. Dezember 2021

[2] Unternehmen mit weniger als 250 Mitarbeitern dürfen sich mit der Umsetzung bis zum 17. Dezember 2023 Zeit lassen

[3] Vgl. etwa § 11 Abs. 4 der Allgemeinen Bedingungen der Zurich-Vertrauensschadenversicherung (ABVZ 08). 

[4] Vgl. Herdter BetriebsBerater 35/2016.

[5] Vgl. die Gesetzesbegründung zum Referentenentwurf des Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden v. 13. April 2022, S. 104.