Von Wirecard zum Whistleblower-CEO: Was hat Pav Gill vor?
Pav Gill wurde zum Whistleblower und brachte den Wirecard-Skandal ins Rollen. Damit trug er zur Enthüllung eines der größten Wirtschaftsverbrechen der deutschen Nachkriegsgeschichte bei. Er hat nun das Whistleblowing-Startup Confide gegründet. Über seine Pläne hat er mit dem Wirecard-Aufklärer Fabio De Masi gesprochen.
Als leitender Rechtsberater bei Wirecard hatte Pav Gill in Singapur viele Einblicke. Doch als er seine Bedenken im Unternehmen ansprach, drängte man ihn raus. Er spielte aus diesem Grund Medien wie der Financial Times die Informationen zu – und wurde zum Whistleblower, der dazu beitrug, dass die Missstände herauskamen.
Wie funktioniert das? Wie erging es Pav Gill nach Wirecard? Und warum er auf eine Einladung für einen Auftritt in Deutschland wartet – darüber hat mit unserem Kolumnisten Fabio De Masi ein schriftliches Interview geführt.
Pav, die Welt muss es wissen. Was haben Sie gemacht, seit Sie Wirecard 2018 verlassen haben?
Nach meinem Ausstieg bei Wirecard habe ich weiter im Bereich Finanzdienstleistungen und Payments gearbeitet und war beim Geldtransfer-Startup Wise als erster Anwalt für die Region Asien-Pazifik zuständig und für BigPay (AirAsia’s digitaler Zahlungsarm) tätig. Da ich eine gewisse Vorliebe für Schmerzen habe, wechselte ich dann in den Kryptobereich als Chief Legal Officer einer Börse für digitale Vermögenswerte und habe fast zwei Jahre lang in Bangkok gearbeitet. Leider fiel die junge Börse den Krypto-Crashs des letzten Jahres zum Opfer und ist insolvent gegangen.
In der Zwischenzeit bin ich zu einem gefragten Redner in den Bereichen Whistleblowing, Einhaltung von Vorschriften und ethische Unternehmensführung geworden. Globale Institutionen, Aufsichtsbehörden und multinationalen Unternehmen, meist aus der EU, haben mich auf Veranstaltungen eingeladen. Es ist interessant, dass ich, obwohl einige dieser Veranstaltungen in Deutschland stattfanden, noch keine Einladung aus Deutschland für ein Event vor Ort erhalten habe. Das würde ich begrüßen, wenn es dazu käme!
In den letzten Keynotes wurde ich immer wieder gefragt, was ich für die nächste Phase meines Lebens geplant habe. Nachdem ich mich ausführlich mit der EU-Whistleblowing-Richtlinie und ihren Vor- und Nachteilen befasst hatte, wurde mir während meiner Keynote bei PwC Luxemburg im Mai etwas klar: Warum sollte ich nicht all das, was ich in meiner Karriere als Compliance-Experte und Whistleblower erlebt habe, in ein technisches Produkt einfließen lassen? Sodass es nicht nur Unternehmen, sondern auch Menschen, die dort arbeiten, und Gesetzgebern gleichermaßen zugutekommt. So beschloss ich, Confide zu gründen – eine technologiegestützte Whistleblowing- und Governance-Plattform, die es Organisationen ermöglichen soll, Risiken zu managen und ihre internen Mitarbeiter davon abzuhalten, sich an externe Kanäle wie die Medien oder die Strafverfolgungsbehörden zu wenden, um Missstände anzusprechen.
Als Sie bei Wirecard waren, haben Sie versucht, Ihre Bedenken über das Geschäft des Unternehmens intern anzusprechen. Wie ist das gelaufen?
Anfangs lief es gut. Ich wurde von meinen unmittelbaren Vorgesetzten beauftragt, die Posteingänge von Edo Kurniawan, James Wardhana und Irene Chai – allesamt leitende Mitarbeiter der Finanzabteilung, die im Verdacht standen, Rechnungen und Konten zu fälschen – zu untersuchen. Ich beauftragte Rajah & Tann, eine der führenden Anwaltskanzleien in Singapur, die sich auf Wirtschaftskriminalität spezialisiert hat, mit der Untersuchung dieser Fälle. Die Dinge liefen gut, bis der Chefsyndikus von den Ermittlungen erfuhr, zum Wirecard-Vorstand lief und ihn informierte. Sie waren sehr aufgebracht und forderten mich auf, zurückzutreten. Daraufhin wurde ich monatelang beschimpft, insbesondere von Jan Marsaleks lokalem Direktor in Singapur, der für die APAC-Region zuständig war. Schließlich haben sie mich zum Rücktritt gezwungen, nachdem ein Versuch, mich mit einem One-Way-Ticket nach Jakarta auf Geschäftsreise zu schicken, scheiterte. Während dieser ganzen Zeit haben mich meine eigenen Vorgesetzten in der Rechtsabteilung gemieden, und bis heute hat sich kein einziger von ihnen jemals gemeldet.
Welche Rolle spielt die neue EU-Richtlinie über die Meldung von Missständen, die Unternehmen mit mehr als 50 Beschäftigten verpflichtet, bis Dezember dieses Jahres Kanäle zur Meldung von Missständen anzubieten, für Ihre Geschäftsidee?
Es ist eine wunderbare Initiative, wenn auch nicht ohne Schwächen. In Deutschland hat man sich zum Beispiel entschieden, den Unternehmen die Möglichkeit zu geben, anonyme Meldungen nicht zu bearbeiten. Aus praktischer Sicht würde dies meiner Meinung nach die Auswirkungen der Richtlinie neutralisieren, da die meisten Hinweisgeber aus Angst vor Vergeltungsmaßnahmen und Enttarnung dazu neigen würden, zunächst anonym zu melden. Angesichts der Tatsache, dass die Richtlinie 27 Mitgliedstaaten betrifft und die betroffenen Unternehmen bis zum 17. Dezember Zeit haben, ihr nachzukommen, bietet sie Confide eine unmittelbare Marktnachfrage, die es zu befriedigen gilt.
Hinweis: Das Unternehmen hat nach EU-Richtlinie eine Woche Zeit, um den Eingang einer Meldung zu bestätigen, und drei Monate, um den Fall zu untersuchen und dem Hinweisgeber zu berichten, wie er damit umgegangen ist. Wenn ein Hinweisgeber das Gefühl hat, dass sein Fall nicht ausreichend behandelt wurde, kann er sich an die Medien oder die Aufsichtsbehörden wenden.
Wie könnte Confide Compliance-Probleme lösen und warum sollten Aktionäre, Management und Mitarbeiter gleichermaßen ein Interesse an den Dienstleistungen von Confide haben?
Wissen ist Macht. Führungskräfte müssen wissen, was in ihren Unternehmen vor sich geht, vor allem wenn es Lücken gibt oder potenzielle Straftaten begangen werden. Und zwar mit oder ohne ihr Wissen. Die Zeiten, in denen den Mitarbeitern gesagt wurde, sie sollen den Kopf einziehen und Mund und Ohren geschlossen halten, sind vorbei, und es herrscht eine Kultur des „speak up“. Wir müssen mit der Zeit gehen, insbesondere mit der neuen Generation, die sich nicht scheut, ihre Meinung zu sagen.
Kontrollfunktionen wie Innenrevisionsteams, Compliance-, Rechts- und Risikoteams würden ebenfalls von einem anonymen und sicheren Kanal wie Confide profitieren, über den die Mitarbeiter berechtigte Bedenken äußern können, selbst wenn es sich um Prozess- und Geschäftsmängel handelt.
Auch die Aktionäre würden davon profitieren, wenn sie wüssten, dass die Unternehmensleitung ein starkes Governance-Instrument eingeführt hat, das, wie ich zu sagen pflege, das G in ESG zurückbringt (Anmerkung: ESG ist eine Abkürzung für drei Verantwortungsbereiche von Unternehmen: Environmental, Social und Governance bzw. Umwelt, Soziales und Unternehmensführung). Wir dürfen nicht vergessen, dass es nicht nur um das äußere Erscheinungsbild geht, sondern auch um eine sichere Arbeitsumgebung im Inneren.
Deshalb lautet der Slogan von Confide: „Don’t leak, don’t hide. Confide.“ Die Botschaft an die Mitarbeiter lautet, dass sie ihre Informationen nicht nach außen dringen lassen müssen, da sie jetzt ein vertrauenswürdiges, sicheres Instrument haben. Und die Botschaft an die Führungskräfte des Unternehmens lautet, dass sie das Problem nicht verstecken müssen, indem sie es auf die lange Bank schieben. Lassen Sie uns alle ehrliche Führungskräfte sein und uns damit befassen.
Wie funktioniert das Produkt für die Mitarbeiter konkret?
Wenn sich Unternehmen auf der Confide-Plattform anmelden, richten sie zunächst ihr Programm ein. Das Programm ist für Hinweisgeber und erläutert die allgemeine Politik des Unternehmens sowie alle Anpassungen, die es speziell für sein Unternehmen vorgenommen hat. Dann wird eine eindeutige URL generiert, die eine Erweiterung der Confide-Plattform ist, z. B. facebook-confide.com. Diese URL kann dann innerhalb des Unternehmens weitergegeben werden, z. B. auf Wikis, in Compliance-Handbüchern, aber auch auf der Website oder im Intranet des Unternehmens. Wenn der Nutzer auf die URL klickt, wird er zur Programmübersicht des Unternehmens weitergeleitet und kann über das Portal einen Bericht einreichen. Die Meldeseite ist so aufgebaut, dass sie klare Anweisungen für potenzielle Hinweisgeber enthält, wobei der Schwerpunkt darauf liegt, sie über Risiken und Handlungen aufzuklären, die sie vermeiden sollten und die sie möglicherweise in den Ruin treiben oder, schlimmer noch, sie einem rechtlichen Risiko aussetzen könnten.
Wie stellen Sie sicher, dass Whistleblower nicht vom Unternehmen identifiziert werden?
Wir stellen sicher, dass wir die besten Verschlüsselungs- und Sicherheitsinstrumente einsetzen, um eine Identifizierung oder Rückverfolgung zu verhindern. Genau das ist das Problem bei den bestehenden Whistleblowing-Kanälen, bei denen die Meldungen intern an eine Mailbox im Unternehmen geschickt werden müssen.
Wo speichern Sie die Daten und wer hat dafür Zugriff?
Wenn ein Bericht eingereicht wird, wird er verschlüsselt und innerhalb des Fallmanagementsystems des Unternehmens auf der Confide-Plattform freigegeben. Je nach Art der Daten werden diese auf unterschiedliche Weise gespeichert, z. B. als Text oder Beweismittel. Alle Daten sind sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt. Standardmäßig speichern wir die Daten innerhalb der EU, können aber für spezifische Nutzerbedürfnisse weiter angepasst werden, wobei bewährte Sicherheitspraktiken für granulare Zugriffsanforderungen angewendet werden.
Wer überwacht den Prozess zur Umsetzung geeigneter Maßnahmen zur Lösung von Compliance- und Governance-Problemen?
Die Untersuchung der Meldung von Hinweisgebern ist die Pflicht der jeweiligen Organisation. Confide kann über das Angebot des ausgelagerten Fallmanagers „Confidant“ die verantwortlichen Personen innerhalb einer Organisation bei der Verwaltung unterstützen und dazu befähigen Vorschriften und interne Richtlinien einzuhalten. Bei der Untersuchung der Whistleblowing-Beschwerden können wir jedoch nicht unterstützen.
Auf welche geografischen Standorte konzentrieren Sie sich und wo wird Confide seinen Hauptsitz haben?
Confide hat im Moment keinen Hauptsitz per se. Wir haben die Holdinggesellschaft in Singapur gegründet, das eine relativ neutrale und ehrliche Jurisdiktion für Unternehmen ist. Angesichts der unmittelbaren Nachfrage, die durch die Richtlinie ausgelöst wird, wollen wir uns auf die EU als Hauptmarkt konzentrieren und suchen derzeit nach einem geeigneten EU-Standort für unseren europäischen Hauptsitz. Dies wird davon abhängen, welches Land uns die meiste Unterstützung bietet, um die Ambitionen unseres Startups zu beschleunigen, z. B. durch Finanzierung oder Subventionen. Das Produkt ist jedoch unabhängig von der Rechtsordnung, d. h. jedes Unternehmen in jedem Teil der Welt kann es nutzen.
Stellen Sie Mitarbeiter für das Unternehmen ein, und wenn ja, welche Art von Talenten und Kompetenzen wollen Sie anziehen?
Wir befinden uns noch in der Funding-Phase für Confide und werden erst dann Mitarbeiter einstellen, wenn wir unsere Fundraising-Ziele erfolgreich erreicht haben. Wir versuchen, Spitzenkräfte aus den Bereichen Tech und Engeneering sowie Geschäfts- und Vertriebsmitarbeiter vor Ort in der EU einzustellen.
Wie wollen Sie mit Confide Geld verdienen und haben Sie Kapital von Risikokapitalgebern oder aus anderen Quellen eingeworben?
Wir haben erst vor zwei Wochen, als die ersten Artikel über unser Startup bei Sifted, Bloomberg und anderen erschienen, mit der offiziellen Kapitalsuche begonnen. Wir sind derzeit in Gesprächen mit potenziellen Investoren, die dankenswerterweise den Wunsch geäußert haben, unser Projekt zu unterstützen. Wir freuen uns aber auch über weitere Interessenten. Wir wissen das Engagement von Kapitalgebern sehr zu schätzen.
In Deutschland läuft das Gerichtsverfahren gegen den ehemaligen Wirecard-Chef Markus Braun? Wie beurteilen Sie den Prozess in Deutschland?
Als Jurist lasse ich in der Regel die Gerichtsverfahren in anderen Ländern ihren Lauf nehmen. Eine Sache, die jedoch auffällt, ist, warum nur drei Personen vor Gericht stehen, wenn, zumindest nach meinem Kenntnisstand, mehrere andere an einem Betrug dieses Ausmaßes beteiligt waren. Aber es ist, wie es ist, und nicht mehr mein Kampf.
Verfolgen Sie den Prozess in Singapur, wo Henry O’Sullivan, der Komplize des flüchtigen Wirecard-COO Jan Marsalek, vor Gericht steht?
Ja, ich verfolge diesen Prozess sehr genau. Singapur hat immer den Anschein erweckt, im Wirecard-Fall eine aktivere Haltung einzunehmen als jede andere Gerichtsbarkeit. Es war zum Beispiel das einzige Land, das nach Erscheinen der ersten zwei oder drei Artikel in der Financial Times eine Razzia in den Büros von Wirecard durchführte. Ich habe volles Vertrauen in das Rechtssystem hier.
Interview: Caspar Schlenk, Fabio De Masi
Compliance Hinweis: Fabio De Masi war in seiner Zeit als Abgeordneter des Deutschen Bundestages mit der Aufklärung des Wirecard-Skandals befasst. Pav Gill war damals auch als Zeuge des Untersuchungsausschusses im Gespräch. Zu einer Aussage vor dem Ausschuss kam es aber nie.