Interview. Die Hälfte der Unternehmen ist bei Meldekanälen für Hinweisgeber noch säumig – da naht schon das Lieferkettengesetz. Neue KI-Tools sollen bei den vielen Compliance-Regeln helfen, sagt Mirco Schmidt, Country Manager Austria der EQS Group.
Extrajournal.Net: Die EQS Group positioniert sich europaweit als starker Player bei Hinweisgeber-Systemen, Börsen-Pflichtmitteilungen und anderen Compliance Tools. Setzen Sie auch in Zukunft Ihre Wachstumsstrategie fort?
Mirco Schmidt: Ja, wir werden den Ausbau der Geschäftstätigkeit weiter vorantreiben, und zwar durch neue Produkte sowie durch gezielte Zukäufe im Compliance-Bereich, wie zuletzt in Frankreich. Dort hat die EQS Group ihr Portfolio mit Data Legal Drive, einem führenden Akteur im Markt für DSGVO- und Anti-Korruptions-Software, erweitert.
Das zentrale Element ist weiterhin unser Compliance COCKPIT, eine digitale Plattform, die Compliance-Verantwortliche beim effizienten Management ihres Compliance-Programms unterstützt. Dazu gehört der Einsatz von Hinweisgebersystemen, aber unter anderem auch Tools für Genehmigungsprozesse und die Richtlinienverwaltung sowie zum Management von Lieferketten. Es ist aber bereits absehbar, dass künftig Datenschutzthemen eine noch größere Rolle spielen. Und natürlich, nicht zu vergessen, auch KI.
„40 bis 50 Prozent der Unternehmen in Österreich haben noch keine Maßnahmen ergriffen“
Die EQS Group ist nach eigenen Angaben europaweiter Marktführer bei Hinweisgebersystemen, auch in Österreich und Deutschland. Wie läuft das Geschäft, nachdem in beiden Ländern die Pflicht zur Einführung von Meldekanälen für Whistleblower nun schon seit einiger Zeit in Kraft ist? Haben alle, die zur Einführung verpflichtet sind, bereits ein Hinweisgebersystem installiert?
Mirco Schmidt: Nach unseren Schätzungen haben 40 bis 50 Prozent der verpflichteten Unternehmen in Österreich noch keine Maßnahmen ergriffen. Das hat unterschiedliche Gründe, ein wichtiger Faktor ist sicherlich, dass es derzeit noch keine Strafen für Unternehmen gibt, die die Vorgaben nicht umsetzen. Man wird sehen, was bei der Revision des Gesetzes 2025 passiert: Der Gesetzgeber hat sich ja nach zwei Jahren eine Evaluierung der Ergebnisse vorgenommen.
In Deutschland hat man sich dafür entschieden, bei der Einführung, die ja eine EU-Richtlinie umsetzt, auch gleich Strafen für Verstöße gegen die Pflicht zur Einführung eines Hinweisgebersystems festzulegen. Wie sind bisher die Erfahrungen, wie hart wird bestraft?
Mirco Schmidt: Um das zu beurteilen, ist die Zeit noch zu kurz – es gibt bisher noch keine Erfahrungen mit konkreten Strafen in Deutschland. Aber zumindest fragen die zuständigen Behörden inzwischen verstärkt bei Unternehmen nach, ob sie die Vorgaben umgesetzt haben.
Wie viele Hinweisgebersystem-Kunden hat die EQS Group derzeit in Österreich und wie stark werden die Systeme genutzt?
Mirco Schmidt: 400 Kunden nutzen hierzulande unsere Hinweisgebersysteme Integrity Line und BKMS. Zusätzlich indirekter Kunden – über die mit uns kooperierenden Anwaltskanzleien und Wirtschaftsprüfer. Wir hören bspw. von den externen Meldestellen, dass diese schwer beschäftigt sind, das Volumen der Meldungen hat sich demnach deutlich erhöht, die Systeme werden mit zunehmender Bekanntheit stärker verwendet. Wir hören übrigens auch, dass die Qualität der Hinweise hoch ist. Es gab anfangs oft die Befürchtung, dass die Meldesysteme mit einer Flut von belanglosen oder sogar verleumderischen Meldungen überflutet werden könnten. Das ist definitiv nicht der Fall.
Der Gesundheitskonzern Vamed hat Mitarbeiter in einem Schreiben aufgefordert, Informationen über mögliche Fehltritte der Vergangenheit an den Vorstand zu melden. Das hat für einiges öffentliches Aufsehen gesorgt. Sind solche Vorgänge ein Indiz dafür, dass anonyme Hinweisgebersysteme an Bedeutung gewinnen, oder scheint man in solchen Fällen doch lieber auf direkten Kontakt zu setzen?
Mirco Schmidt: Das eine schließt das andere ja nicht aus. Tatsächlich ist es für den Erfolg eines Hinweisgebersystems ganz entscheidend, dass die Beschäftigten über dessen Existenz Bescheid wissen. Manche Kunden fügen den Link zum Hinweisgebersystem zum Beispiel standardmäßig in ihren E-Mail-Signaturen ein oder verteilen Postkarten, um das System bei ihren Mitarbeitern bekannt zu machen. Wichtig ist aus unserer Sicht auch, ausdrücklich darauf hinzuweisen, dass die meldenden Personen anonym bleiben können.
„Die Umsetzung des Lieferkettengesetzes muss machbar sein“
Die Umsetzung des Whistleblower-Schutzes ist noch kaum erledigt, da kommt schon das nächste große Compliance-Thema: die Verpflichtung der Unternehmen, saubere Lieferketten nachzuweisen. Sie dürfen also nicht bei Lieferanten einkaufen, bei denen es Kinderarbeit o. ä. gibt. Wie sehr ist das bereits ein Thema und wie groß ist der Aufwand?
Mirco Schmidt: Das Gesetz ist natürlich richtig und wichtig. Und kein Unternehmen sollte Kinderarbeit, Ausbeutung oder Umweltzerstörung bei der Produktion seiner Waren hinnehmen. Wichtig ist es, dass die Umsetzung des Gesetzes auch machbar ist und hierbei kann Compliance-Software tatkräftig unterstützen. Unsere Lösungen Third Parties und Risks erleichtern beispielsweise die Identifizierung und das Management von Lieferanten sowie die Risikobewertung und -minderung von Unternehmen. Man kann es auch als Unternehmen von einer anderen Seite aus sehen: Selbst kleine Unternehmen müssen heutzutage Tausende von Lieferanten managen. Wer dafür ein gutes System hat, der hat Vorteile im Wettbewerb.
„Kunde erhält KI, die ausschließlich für ihn arbeitet“
Sie haben den KI-Einsatz als wichtiges Thema erwähnt. Wie stark fragen die Kunden die Künstliche Intelligenz im Compliance-Bereich nach?
Mirco Schmidt: Wir sind in diesem Bereich selbst die treibende Kraft. Viele Kunden sind beim Thema KI noch eher zurückhaltend, nicht zuletzt aus Datenschutzgründen. Wir glauben aber, dass KI attraktive Perspektiven bietet. Sie kann beispielsweise Hinweise aufbereiten, mit zusätzlichen Informationen anreichern, sie zusammenfassen und anonymisieren. Natürlich sind dabei die Datenschutzregeln von größter Bedeutung. Viele Benutzer gehen bei KI automatisch von Online-Instanzen aus, die irgendwo im Internet untergebracht sind. Dem ist aber nicht so, denn wir richten bei unseren Kunden eine KI-Instanz ein, die ausschließlich für sie arbeitet – niemand muss also Bedenken haben, dass sensible Daten um die halbe Welt geschickt werden.
Ein weiteres wichtiges Thema ist der KI-Einsatz in unserem Policies-Tool: Ein größeres Unternehmen hat eine Vielzahl von Richtlinien. Die KI kommt zum Einsatz, indem ihr Fragen gestellt werden können. Die Antworten basieren dann auf den Inhalten der unternehmensweiten Richtlinien zu den entsprechenden Bereichen.
Wie sieht das in der Praxis aus, kann man die KI beispielsweise fragen: „Darf ich eine Urlaubsreise von einem Kunden als Geschenk annehmen?“
Mirco Schmidt: Genau, und das funktioniert auch noch in verschiedenen Sprachen. Bei größeren Unternehmen kann ein solches Tool der Compliance-Abteilung enorme Arbeit abnehmen. Zugänglich ist das Tool nicht über das Compliance COCKPIT– denn das ist nur für die Compliance-Spezialisten im Unternehmen gedacht –, sondern über den „Integrity Hub“, der für Beschäftigte und auf Wunsch auch für externe Dienstleister eines Unternehmens bereitsteht. Dieser Service wird sehr gut angenommen, das Interesse ist hoch und es erwarten uns ja noch einige weitere Entwicklungen.