FAQ zur Hinweisgeber-Richtlinie

Auch Teilzeitkräfte (Angestellte) und in ständigem Kontakt mit dem Unternehmen stehende Freiberufler sollten dazu gezählt werden. Die Richtlinie selbst spricht von Fest im Unternehmen angestellten Mitarbeitern.

Für Unternehmen ab 50 Mitarbeiter gilt eine Übergangsfrist bis 16.12.2023. Nach Absatz (48) der Richtlinie ist hier eine "sollte"-Umsetzung für Unternehmen, die mehrwertsteuerberechtigt sind, vorgesehen.

1. Wenn Sie weniger als 50 Mitarbeiter haben und nicht mit öffentlichen Arbeitgebern in einer Wirtschafts- oder Rechtsbeziehung stehen, sollten Sie für Ihre Compliance an die Einrichtung von sicheren Informationskanälen denken und diese vorsehen.

2. Wenn Sie mehr als 50 und weniger als 249 Mitarbeiter haben und nicht mit öffentlichen Arbeitgebern in einer Wirtschafts- oder Rechtsbeziehung stehen, sollten sichere interne Informationskanäle vorgesehen sein, auch wenn die vollständige Richtlinienumsetzung für diese Unternehmen zum17.12.2023 zu erfolgen hat. Unternehmen mit mehr als 250 Mitarbeiter sind bis zum 16.12.2021 verplichtet, die Richtlinie umzusetzen.

3. Gleich wie viele Mitarbeiter und Sie stehen mit öffentlichen Arbeitgebern in einer Wirtschafts- oder Rechtsbeziehung, müssen Sie die Richtlinie umsetzen, sichere Informationskanäle schaffen und einen vertraulichen Ansprechpartner benennen.

Die EU hat am 16. Dezember 2019 eine Richtlinie (2019/1937) beschlossen, indem Hinweisgeber durch die Richtlinie in der EU einen einheitlichen Schutz genießen und damit besser vor Repressalien geschützt werden.

Bis zum 16.12.2021 muss jedes Unternehmen ab 249 Mitarbeitern diese EU-Richtlinie mit geeigneten Maßnahmen umsetzen, Unternehmen größer als 50 und kleiner 249 MA wenn sie bestimmten Branchen angehören. Details hier.

Ein Hinweisgeber-System, bestehend aus (digitaler) Hinweisgeberlösung, am besten einem Hinweisegeber-Management, fördert nicht das Denunziantenum, wie häufig im Mittelstand argwöhnisch betrachtet.

Ein Hinweisgeber hat in den allermeisten Fällen eine hohe Identifikation mit dem Unternehmen/Organisation, weil diese Person Zukunft im Unternehmen sehen will. Es soll etwas besser werden, oder ein ernsthaftes Problem gelöst werden.

Im Gegenteil: Ein Hinweisgeber-System fördert die Reputation des Unternehmens, der Organisation.

Saas-Hinweisgebersystem und Lieferkettensorgfaltspflichtgesetz

Beispiel Bosch - Russland-Ukraine-Krieg - angebautes Teil

Ein Hinweisgeber könnte, theoretisch, barrierefrei, in Landessprache, einen Hinweis absetzen. Das Unternehmen hätte reagieren können. Zudem öffentlich könnte dieser glaubhaft ein funktionierendes Risikomanagementsystem kommunizieren. Auch beim Lieferkettensorgfaltspflichtgesetz kann unsere international barrierefrei cloudbasierte Lösung ein wichtiger Baustein sein, beispielsweise bei den Themen Menschenrechte, Umweltschutz.

Lieferktten werden Zug um Zug neu aufgebaut und verkettet

Ein funktionierendes SCM sollte ein funktionierendes Element wie ein Hinweisgebersystem enthalten, um Regelverstößen schnell nachgehen zu können. Ist ein Verstoß, gleich ob wissentlich verursacht oder nicht, erst einmal in den Medien und somit in der Öffentlichkeit, sind schnell Unternehmensressourcen auf vielen Ebenen gebunden und im schlimmsten Fall, reißen auch ganz schnell Lieferketten durch Auslistung.

Den Verordnungsgebern kam es auf die Barrierefreiheit, Unabhängigkeit, Einfachheit an - und - dass die Informationen von einer unabhängigen, neutralen und fachkundigen Stelle geprüft werden. In Frage kommt hier eine Ombudsperson. Daraus ergibt sich bereits, dass auch eine Softwarelösung nicht mit der Firmencloud oder ungeigneter Software in Verbindung stehen soll.

Der Briefkasten

Denkbar ist auch eine analoge Lösung (Post). Diese Möglichkeit ist in der praktischen Ausübung aufgrund Zeitnähe der Eingabebestätigung, Rückfragen eher die Ausnahme und in Fällen auch problematisch, wenn der Hinweisgeber im Ausland ist bzw. ein Dritter eingeschaltet ist. Zudem kann der Whistleblower nicht richtlinienkonform über den Stand der Bearbeitung informiert werden. Damit scheiden mit Inkrafttreten der EU-Hinweisgeber-Richtlinie Briefkasten-Lösungen aus.

Klassiker: Das Call-Center

Ein Klassiker zur Meldung von Hinweisen war lange das Call-Center. Darüber lässt sich eine Erreichbarkeit rund um die Uhr einfach gewährleisten. Die erhöhte Hemmschwelle bei Meldungen über Telefon führte in den letzten zehn Jahren allerdings dazu, dass immer weniger Hinweise abgegeben wurden. Hinzu kommen Sprachbarrieren und Missverständnisse durch Nicht-Muttersprachler auf einer oder sogar beiden Seiten des Telefons, die eine sinnvolle Aufnahme von Hinweisen als Grundlage für die Weiterbearbeitung beeinträchtigen.  

Compliance-Beaufragte

Je nach Unternehmensgröße scheint es naheliegend, die EU-Hinweisgeber-Richtlinie zu erfüllen, in dem man im Unternehmen einen Ansprechpartner benennt, an den sich Mitarbeiter wenden können, wenn sie einen Hinweis melden möchten. Dazu bieten sich Compliance-Beauftragte oder Ombudspersonen an. Je kleiner ein Unternehmen, desto mehr Überwindung wird es einen Whistleblower kosten, das direkte Gespräch zu suchen. Fast jeder hat schon einmal die Erfahrung gemacht, dass der Überbringer der schlechten Botschaft für dessen Inhalt bestraft wurde und nicht der Verursacher. Es ist daher zu bedenken, dass die Kommunikation mit diesen Ansprechpartnern für einen Whistleblower zwar vertraulich erfolgen kann, nicht jedoch anonym. Dies könnte Whistleblower davon abhalten, Missstände zu melden.

(47) Damit Verstöße gegen das Unionsrecht wirksam aufgedeckt und unterbunden werden können, müssen die ein­schlägigen Informationen rasch zu denjenigen gelangen, die der Ursache des Problems am nächsten sind, der Meldung am ehesten nachgehen können und über entsprechende Befugnisse verfügen, um dem Problem, soweit möglich, abzuhelfen. Aus diesem Grund sollten Hinweisgeber grundsätzlich darin bestärkt werden, zunächst die internen Meldekanäle zu nutzen und ihrem Arbeitgeber Meldung zu erstatten, sofern ihnen derartige Kanäle zur Verfügung stehen und vernünftigerweise erwartet werden kann, dass sie funktionieren.

(48) Bei juristischen Personen des Privatrechts sollte die Verpflichtung zur Einrichtung interner Meldekanäle in einem angemessenen Verhältnis zu ihrer Größe und dem Ausmaß des Risikos ihrer Tätigkeiten für das öffentli­che Interesse stehen. Alle Unternehmen mit 50 oder mehr Arbeitnehmern, die Mehrwertsteuer erheben müssen, sollten unabhängig von der Art ihrer Tätigkeiten interne Meldekanäle einrichten müssen. Die Mitgliedstaaten können nach einer geeigneten Risikobewertung auch anderen Unternehmen vorschreiben, in bestimmten Fällen interne Meldekanäle einzurichten, etwa aufgrund erheblicher Risiken, die sich aus ihrer Tätigkeit ergeben.

(49) Die Möglichkeit der Mitgliedstaaten, juristische Personen des privaten Sektors mit weniger als 50 Arbeitnehmern darin zu bestärken, interne Kanäle für Meldungen und Folgemaßnahmen einzurichten, indem sie unter anderem für diese Kanäle weniger strenge Anforderungen als in dieser Richtlinie vorgesehen festlegen, sofern durch diese Anforderungen die Vertraulichkeit der Meldung und ordnungsgemäße Folgemaßnahmen garantiert sind, sollte von der Richtlinie unberührt bleiben.

(50) Die Ausnahme für Klein- und Kleinstunternehmen von der Verpflichtung, interne Meldekanäle einzurichten, sollte nicht für Privatunternehmen gelten, die gemäß den in Teilen I.B und II des Anhangs genannten Rechtsakten der Union zur Einrichtung interner Meldekanäle verpflichtet sind.

(51) Sehen juristische Personen des privaten Sektors keine internen Meldekanäle vor, sollte es klar sein, dass es Hinweisgebern möglich sein sollte, Meldungen extern an die zuständigen Behörden zu richten, und dass sie nach Maßgabe dieser Richtlinie vor Repressalien geschützt sein sollten.

(53) Solange die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt, kann jede juristische Person des privaten und öffentlichen Sektors selbst festlegen, welche Art von Meldekanälen einzurichten ist. Konkret sollten die Meldekanäle es Personen ermöglichen, schriftlich Meldung zu erstatten und diese Meldung auf dem Postweg, über einen Beschwerde-Briefkasten oder über eine Online-Plattform, sei es eine Plattform im Intranet oder im Internet, einzureichen, oder mündlich Meldung zu erstatten, über eine Telefon-Hotline oder ein anderes System für gesprochene Nachrichten, oder beides. Auf Anfrage des Hinweisgebers sollte es über diese Kanäle auch mög­ lich sein, innerhalb eines angemessenen Zeitraums im Rahmen von physischen Zusammenkünften Meldung zu erstatten.

(54) Auch Dritte könnten ermächtigt werden, Meldungen von Verstößen im Namen von juristischen Personen des privaten und öffentlichen Sektors entgegenzunehmen, sofern sie entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten. Bei solchen Dritten könnte es sich um externe Anbieter von Meldeplattformen, externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter handeln.

(55) Interne Meldeverfahren sollten juristische Personen des privaten Sektors in die Lage versetzen, nicht nur den Meldungen ihrer Arbeitnehmer bzw. der Arbeitnehmer ihrer Tochterunternehmen oder verbundenen Unterneh­men (im Folgenden „Gruppe“) unter vollständiger Wahrung der Vertraulichkeit nachzugehen, sondern soweit möglich auch den Meldungen der Arbeitnehmer von Vertretern und Lieferanten der Gruppe sowie von Perso­nen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Unternehmen und der Gruppe Informationen erhalten.

(56) Welche Personen oder Abteilungen innerhalb einer juristischen Person des privaten Sektors am besten geeignet sind, Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen, hängt von der Struktur des Unterneh­mens ab; ihre Funktion sollte jedenfalls dergestalt sein, dass ihre Unabhängigkeit gewährleistet wird und Interes­senkonflikte ausgeschlossen werden. In kleineren Unternehmen könnte diese Aufgabe durch einen Mitarbeiter in Doppelfunktion erfüllt werden, der direkt der Unternehmensleitung berichten kann, etwa ein Leiter der Compli­ance- oder Personalabteilung, ein Integritätsbeauftragter, ein Rechts- oder Datenschutzbeauftragter, ein Finanz­ vorstand, ein Auditverantwortlicher oder ein Vorstandsmitglied.

(57) Bei internen Meldungen trägt eine möglichst umfassende Unterrichtung des Hinweisgebers, soweit diese recht­lich möglich ist, über die Folgemaßnahmen zu einer Meldung wesentlich dazu bei, Vertrauen in die Wirksamkeit des allgemeinen Hinweisgeberschutzes aufzubauen und die Wahrscheinlichkeit weiterer unnötiger Meldungen oder einer Offenlegung zu senken. Der Hinweisgeber sollte innerhalb eines angemessenen Zeitrahmens über die geplanten oder ergriffenen Folgemaßnahmen und die Gründe für die Wahl jener Folgemaßnahmen informiert werden. Die Folgemaßnahmen könnten beispielsweise den Verweis auf andere Kanäle oder Verfahren bei Meldungen, die ausschließlich die individuellen Rechte des Hinweisgebers betreffen, den Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe, die Einleitung interner Nachforschungen, eventuell unter Angabe der Ergebnisse und möglicher Maßnahmen zur Behebung des Problems oder die Befassung einer zuständigen Behörde zwecks weiterer Untersuchung umfassen, soweit diese Informationen die internen Nachforschungen oder die Untersuchung nicht berühren und die Rechte der von der Meldung betroffenen Person nicht beeinträchtigen. Der Hinweisgeber sollte in jedem Fall über die Fortschritte und Ergebnisse der Untersuchung informiert werden. Es sollte möglich sein, den Hinweisgeber während der Untersuchung um weitere Informationen zu bitten, ohne dass jedoch eine Verpflichtung zur Bereitstellung dieser Informationen besteht.

(58) Ein angemessener Zeitrahmen zur Unterrichtung des Hinweisgebers sollte drei Monate nicht überschreiten. Wer­ den die geeigneten Folgemaßnahmen erst noch festgelegt, so sollte der Hinweisgeber auch darüber informiert werden; zudem sollte ihm mitgeteilt werden, welche weiteren Rückmeldungen er erwarten kann.

Information über die Einführung einer Hinweisgeber-Lösung

Jeder mit dem Unternehmen dauerhaft in Verbindung stehenden Person ist die Webadresse der cloudbasierten SaaS-Lösung mitzuteilen (Aushang, Gehaltszettel, Betriebsrat)

Geht auf dieser Plattform eine Meldung ein, erhält der zu beauftragende Case Manager (unabhänige, fachkundige Person) eine Meldung.

Funktion des Case Managers

Die Mitteilung wird vom Case Manager überprüft.

Der Case Manager nimmt Kontakt mit dem Hinweisgeber auf.

Der Case Manager wird aufgrund seines Fachwissens, im Rahmen der DSGVO und anderer gesetzlicher Bestimmungen die vom Hinweisgeber gemachten Aussagen hinterfragen, um Glaubwürdigkeit, Absicht, Personenkreis, Art und Schwere, Zeit und Ort möglichst unwiderlegbar zu sichern. Hierzu können mehrere Kontaktaufnahmen erforderlich sein, bzw. der Personenkreis sich erweitern. Der Case Manager ist aber keine Ermittlungsperson! Führt die Information in Folge der Hinterfragungen zu sich verdichtenden Hinweisen und Plausibilitäten, können persönliche Motive weitgehend ausgeschlossen werden, informiert der Case Manager eine benannte verantwortliche Stelle des Unternehmens. Der weitere Fortgang richtet sich nach der Schwere der Information bis hin zur Einschaltung von Strafverfolgungsbehörden.

Wichtig: Der Case Manager ist keine Ermittlungsperson! und hat auch keine Befugnis, um Rechtsaussagen zu treffen.

Der Case Manager wird aufgrund seines Fachwissens, im Rahmen der DSGVO und anderer gesetzlicher Bestimmungen die vom Hinweisgeber gemachten Aussagen hinterfragen, um Glaubwürdigkeit, Absicht, Personenkreis, Art und Schwere, Zeit und Ort möglichst unwiderlegbar zu sichern.

Es können mehrere Kontaktaufnahmen erforderlich sein, bzw. der Personenkreis kann sich erweitern.

Rückmeldung an den Hinweisgeber

Innerhalb von 7 Tagen muss dem Hinweisgeber der Eingang seiner Information bestätigt werden und innerhalb von 3 Monaten muss der Hinweisgeber über den Stand der Behandlung, die Maßnahmen und dem Ergebnis informiert werden.

Was passiert wenn ein Hinweisgeber eine wichtige Information hat?

Prüfung des Hinweises

Führt die Information in Folge der Hinterfragungen zu sich verdichtenden Hinweisen und Plausibilitäten, können persönliche Motive weitgehend ausgeschlossen werden, informiert der Case Manager eine benannte verantwortliche Stelle des Unternehmens.

Der weitere Fortgang richtet sich nach der Schwere der Information bis hin zur Einschaltung von Strafverfolgungsbehörden. Dieser Fortgang obliegt dem Unternehmen, wobei der Case Manager auf dem Laufenden vom Unternehmen gehalten werden muss. Die Kommunikation soll ausschließlich auf der Hinweisgeberlösung statt finden.

Case Manager

Der Case Manager prüft die Information auf Glaubwürdigkeit, Stichhaltigkeit, sammelt belastbare Informationen und steht zunächst ausschließlich im Kontakt mit dem Hinweisgeber. Er hat die Aufgabe Fakten zu sammeln und persönliche Motive oder Falschmeldungen zu identifizieren. Die Ombudsfunktion kann und muss von einer dem Unternehmen unabhängigen Person wahr genommen werden, idealerweise einer Rechtsperson mit Datenschutzhintergrund.

Ombudsperson

Die Ombudsperson ist eine externe Person, ein Steuerberater, Rechtsanwalt, Datenschutzbeauftragter. An die Ombudsperson sind Anforderungen zu stellen: Erfahrung im Datenschutz, im Compliance-Wesen, Unternehmens-, bzw. Wirtschaftserfahrung. Integre Person, vertrauenswürde, sachorientiert, unbedingt neutral, analytisches Verständnis, idealerweise mehrere Sprachen gut verstehend.

Dritte

Dritte Personen stehen dem Hinweisgeber nahe. Sie können an Stelle des Hinweisgebers Meldung machen.

Angehörige

Angehörige des Hinweisgebers stehen unter dem Schutz der EU-Hinweisgeber-Richtlinie.

Um dieses Risiko zu vermeiden, sollten Sie sich für einen offenen, proaktiven Umgang mit der Einführung Ihrer Meldekanäle entscheiden. Das Spektrum ist groß und reicht von einer einfachen Info-Mail an die Mitarbeiter zum Thema Meldekanäle bis zur bewussten Einbettung in ein umfassendes Compliance-System.

Risiko-Minimallösung

Da wir diese Frage immer wieder gestellt bekommen, so viel vorab: Natürlich können Sie jeden Meldekanal quasi unsichtbar auf einer Unter-Unterseite Ihres Intranets verstecken, ohne seine Existenz gezielt an Ihre Mitarbeiter zu kommunizieren. Damit können Sie zumindest im Fall einer Prüfung nachweisen, dass Sie eine solche Lösung anbieten. Sie gehen damit jedoch das Risiko ein, dass ein potenzieller Whistleblower diesen Meldekanal nicht findet und sich direkt an eine Behörde oder die Presse wendet.

Bei der Auswahl eines passenden Systems sind zahlreiche spezifische Mitarbeiter-Faktoren relevant. Funktionen, Bildungsniveau, Nationalitäten und Standorte beeinflussen den Zugang zu Meldekanälen und die Hemmschwelle, sie zu nutzen. Eine konkrete Person direkt anzusprechen, kostet in der Regel am meisten Überwindung. Am wenigsten Überwindung bedarf die Nutzung einer digitalen Lösung, die Anonymität garantiert. Selbst bei niedrigem Bildungsniveau und niedrigem Einkommen haben inzwischen alle Mitarbeiter ein Handy und beherrschen dessen Nutzung. Ist die digitale Hinweisgeber-Lösung sehr intuitiv und benutzerfreundlich gestaltet und verwendet sie eine verständliche Sprache, kann sie von jedem Mitarbeiter genutzt werden. Auch auf der entferntesten Baustelle könnte ein Link zu einer Whistleblowing-Software oder der Kontakt eines Ansprechpartners für Hinweise an einem schwarzen Brett, im Container, Bauwagen oder in Projektunterlagen frei zugänglich sein.

Haben Sie stets die Gesamtkosten im Blick. Am teuersten sind digitale Systeme, die in Ihrer IT-Landschaft implementiert werden. Hier sind nicht nur die monatlichen Gebühren und die Kosten für die Implementierung, sondern auch der Implementierungsaufwand und die Einbindung Ihrer Mitarbeiter zu berücksichtigen. Gebühren für Call-Center- oder Telefon- und E-Mail-Lösungen bei einer Ombudsperson oder dem Anwalt Ihres Vertrauens fallen monatlich pauschal an, auch wenn in diesem Zeitraum kein Fall gemeldet werden sollte. Am günstigsten sind in der Regel Cloud-basierte Whistleblowing-Software-Produkte.

Die Lösung erfüllt alle Kriterien der EU-DSGVO und der Datenschutz muss in allen Phasen eingehalten werden.

Datensicherheit

Zusätzlich zu den Anforderungen der DSGVO sind bei der Auswahl von Meldekanälen weitere Aspekte der Datensicherheit bei der Auswahl eines passenden Systems für Ihr Unternehmen zu berücksichtigen. Bei allen analogen – menschlichen – Lösungen stellt sich die grundsätzliche Frage, wo die Daten aufbewahrt und wie sie durch wen verwaltet werden. Wer hat noch Zugriff auf das Telefon und die Mailbox, wer auf das E-Mail-Postfach und in welchem Land stehen die Server der E-Mail-Provider? Mögliche Schwachstellen sind hier Assistenz oder Urlaubsvertretung. Auch bei Systemadministratoren mit Zugang zu den Inhalten von E-Mail-Accounts ist die Vertraulichkeit nur noch eingeschränkt gewährleistet.

Auf den ersten Blick mag das so in einem aufkommen. Ging mir ehrlich gesagt auch so. Bis ich einen Perspektivwechsel vollzog:

Was bräuchte ich als Mitarbeiter, um das Risiko einzugehen, ein Fehlverhalten oder einen Gesetzesverstoß von Kollegen oder Vorgesetzten zu melden?

Versetzen Sie sich in Ihre Mitarbeiter – nicht pauschal sondern in einzelne, konkrete Personen. Fühlen Sie sich ein in vorsichtige, zurückhaltende, extrovertierte und selbstbewusste Personen, in Menschen mit verschiedenen Bildungsniveaus und anderem kulturellen Hintergrund, und in welche mit sehr unterschiedlichen Führungskräften. Aus den Perspektiven dieser einzelnen Personen betrachtet: Was würde Ihnen helfen, darauf zu vertrauen, dass Ihr Hinweis konstruktiv aufgegriffen und bearbeitet wird? Was bräuchten Sie, um sich eventuell irgendwann zu outen?

Mehrwerte

Eine Whistleblowing-Software ermöglicht dem Whistleblower, Meldungen anonym und vertraulich von jedem internetfähigen Gerät abzugeben. Zusätzliche, für den Hinweis relevante Informationen – wie Bilder, Dokumente, Zeichnungen etc. – können direkt mit hochgeladen werden. Das System veranlasst mit Eingang der Meldung automatisch das Informieren des Zuständigen, dass ein neuer Hinweis gemeldet worden ist. Dies ist wichtig, da die EU-Hinweisgeber-Richtlinie Anforderungen zur Bearbeitung stellt, die mit konkreten Fristen versehen sind. Innerhalb einer Woche muss der Hinweisgeber über den Eingang des Hinweises informiert werden. Innerhalb von drei Monaten, in Ausnahmen auch sechs Monaten, über das Ergebnis der Untersuchung zu seinem Hinweis. Das System überwacht die Einhaltung der Fristen und erinnert rechtzeitig daran.

Jede Meldung ist wertvoll, weil mit dieser potenziell das Unternehmen verbessert, bei Abhilfe gestärkt oder schlimmeres verhütet werden kann, so dass zunächst eine interne Klärung statt finden kann.

Wie Sie Ihre Whistleblowing-Software (oder einen anderen Meldekanal) einführen, entscheidet darüber, welche Fälle bei Ihnen landen und ob Mitarbeiter das System missbrauchen. Für Mitarbeiter ist eine verständliche, kurz gehaltene Information dazu hilfreich, welche Themen über diese Kanäle gemeldet werden sollten und welche nicht.

Sofern Sie in Ihrem Unternehmen noch keinen Verhaltenskodex haben, wäre die Einführung eines solchen eine gute Möglichkeit, grundsätzliche Verhaltensregeln zur Orientierung einzuführen. In der Praxis finden sich sehr häufig ausführliche Varianten, die versuchen, jede Ausnahme zu berücksichtigen. Zu viel Text führt jedoch dazu, dass Verhaltensregeln – einfach nicht gelesen werden – unabhängig vom Bildungsniveau. Am besten ist eine Zusammenfassung auf einer Seite mit großer Schrift und einfach verständlichen Formulierungen. Auf Folgeseiten können dann die Punkte detaillierter ausgeführt sein.

Jegliche Form von Verhaltenskodex oder Werten führt auch dazu, dass vor allem Führungskräfte von den Mitarbeitern genau beobachtet werden. Wird die Einhaltung der Regeln oder Werte im täglichen Handeln nicht vorgelebt, führt das zwar nicht direkt zu Hinweisen, aber auch nicht zu dem notwendigen Vertrauen. Vertrauen darin, dass die Führung die festgeschriebenen Regeln ernst nimmt und wirklich möchte, dass sich alle Mitarbeiter danach richten. Dann wirkt ein Verhaltenskodex wie ein hübsches Deckmäntelchen, unter dem der Freibrief erteilt wird, sich entgegen der Vorgaben zu verhalten.

Um ein Unternehmen tatsächlich compliant auszurichten, empfiehlt es sich, ein zu Unternehmensgröße, Geschäftsmodell und Branche passendes Compliance-System einzuführen. Ihr Compliance-Berater oder Anwalt des Vertrauens kann Ihnen hier zu Ihrem Unternehmen passende, bewährte Empfehlungen geben und Sie bei der Umsetzung begleiten. Die Whistleblowing-Lösung ist dann ein Bestandteil des Systems.

Keine Frage, gravierende Gesetzesverstöße oder Hinweise mit Skandalpotenzial sind Chefsache! Nicht jedoch deren Entgegennahme oder rechtlich korrekte Nachverfolgung und Dokumentation.

Inhouse-Lösung

Zuständig für den Empfang und die Bearbeitung von Hinweisen sollten Personen im Unternehmen sein, die generell als vertrauenswürdig empfunden werden. In Konzernen und großen mittelständischen Unternehmen sind dies in der Regel spezielle Abteilungen wie die Rechtsabteilung, Compliance-Abteilung oder interne Ombudspersonen an unterschiedlichen Standorten.

Externe Ansprechpartner

In kleineren und mittelständischen Unternehmen sind Compliance-Beauftragte oder Ombudspersonen (sofern vorhanden), oder direkt ein Vertreter der Geschäftsführung interner Ansprechpartner. Je kleiner das Unternehmen, desto schwieriger die Entscheidung, wer das Thema Whistleblowing verantworten soll. Es bedarf nicht nur der Wahrnehmung, dass diese Person vertrauenswürdig ist. Auch die Hemmschwelle, diese Person anzusprechen, sollte bei den Mitarbeitern niedrig sein. Vor diesem Hintergrund kann es sehr hilfreich sein, zusätzlich zu einem internen Empfänger auch eine externe Stelle als Empfänger zu benennen. Hierzu bieten sich Ihr Rechtsanwalt oder Steuerberater des Vertrauens an oder auch eine externe Ombudsperson. Mit diesem Personenkreis haben Sie zugleich eine gute Vertretungsregel. (siehe hierzu Absatz (56) der Hinweisgeber-Richtlinie)

Die Erfahrung hat gezeigt, dass sich Whistleblower im Laufe der Zeit häufig zu erkennen geben, wenn sie nach der Mitteilung einer Meldung das Gefühl haben, dass Ihr Hinweis professionell aufgegriffen und bearbeitet wird. Es braucht nicht viel Fantasie, sich das Spektrum an Gefühlen auszudenken, die ein Hinweis beim Empfänger auslösen kann. Externe Partner haben hier per se eine professionelle Distanz und wirken dadurch beim Whistleblower vertrauensbildend. Die Erfahrung Ihres externen Partners ermöglicht beim Eingang eines Hinweises die Entscheidung zur Relevanz und zu den Anforderungen an das weitere Vorgehen. Neben der professionellen Bearbeitung ist die Wahrung aller relevanter Fristen abgedeckt.

Die Unternehmensgröße entscheidet häufig über die Anzahl Ihrer Optionen. Hat Ihr Unternehmen eine eigene IT-Abteilung, die den mehrwöchigen Implementierungsprozess einer konventionellen Online-Lösung unternehmensseitig unterstützen kann? Wenn ja, kommen für Sie alle digitalen und analogen Optionen zur Ausgestaltung einer Whistleblowing-Lösung in Frage.

Mit zunehmender Unternehmensgröße steigt rein statistisch die Zahl möglicher Hinweise. Es ist vor allem für international agierende Unternehmen mit einer Vielzahl von Hinweisen interessant, eine Whistleblowing-Software mit sehr differenzierten Auswertungsmöglichkeiten, z. B. nach Rechtsgebieten, Ländern, Standorten oder Unternehmensbereichen, zu implementieren. Für kleine und mittelständische Unternehmen mit wenigen Fällen pro Jahr sind eine Vielzahl komplexer Auswertungsmöglichkeiten unnötig.

Sie sind ein kleines oder mittelständisches Unternehmen und die Erinnerung an die letzte Software-Einführung und Verknüpfung mit ihrem bestehenden IT-System löst bei Ihnen und Ihren Mitarbeitern, wie bei vielen anderen unserer Kunden, heute noch Grauen aus? Oder haben Sie in Ihrem Unternehmen gar keine eigene IT-Abteilung, die die Begleitung eines mehrwöchigen Implementierungsprozesses übernehmen kann?

Dann kommt für Sie eine Plattform-Lösung in Frage, bei der keine Implementierung in Ihrer IT-Landschaft erforderlich ist. Wie das funktioniert? Mit „Software-as-a-Service“-Lösungen, bei denen die Daten in der Cloud liegen. Eine solche Whistleblowing-Software wird auch als Plug-and-play-Lösung bezeichnet. Jedoch lohnt es sich, hier genau hinzuschauen. Es handelt sich nur dann tatsächlich um eine Plug-and-play-Lösung, wenn Sie ohne jeglichen Implementierungsaufwand mit der Buchung einen Link erhalten. Mittels dieses Links müssen Sie direkt auf Ihrer Unternehmensseite der Whistleblowing-Plattform landen.

Sind Sie ein global agierendes Unternehmen oder auf die EU fokussiert?

Bei der Auswahl eines Whistleblowing-Systems sollten Sie berücksichtigen, in wie vielen Ländern der Welt Ihr Unternehmen geschäftlich aktiv ist. Gerade bei international agierenden Unternehmen scheint es naheliegend, einen globalen Anbieter einer Whistleblowing-Lösung zu wählen, um die zahlreichen Sprachen der Mitarbeiter zu berücksichtigen. Hierbei ist jedoch unbedingt zu beachten, dass sich die Rechtssysteme und die Anforderungen an den Datenschutz in den einzelnen Staaten sehr unterscheiden. Sie sollten daher unbedingt nachfragen, wo die Server eines Whistleblowing-Anbieters stehen. Ist dies außerhalb der EU, z. B. in den USA, sind sowohl Datenschutz als auch Whistleblower-Schutz für die Standorte Ihres Unternehmens in der EU nicht ohne weiteres sicher gewährleistet.

Bei Verstoßmeldung und sind nach dem 16.12.2021 keine geeigneten Kanäle eingerichtet, drohen empfindliche Bußgelder bis hin zu einer Strafverfolgung ähnlich der DSGVO.

Wir sind Teil eines umfassenden, großen, hochreputativen Netzwerks von Compliance-Experten, Rechtsanwälten, Wirtschaftsexperten, aus Forschung, Anwendung. Wir sind daher für KMU in der Lage für jede Aufgabenstellung kompetente Antworten zu geben können, die sonst nur großen Unternehmen und Konzernen vorbehalten sind. Für KMU kann ein ernster Hinweis das Aus bedeuten, Konzerne gehen oft gestärkt aus einem Skandal hervor.

Compliance ist als erstes die Einhaltung von Gesetzen, als zweites die Einhaltung von allgemein anerkannten Regeln und Normen, als drittes die Einhaltung von unternehmensinternen Regeln.

Wie Regeln eingehalten werden können wird mit unserem weiterentwickelten WissensManagement-System und in unseren eigenentwickelten WissensDatenbanken täglich vor Augen geführt.

Die juristische Komponente von Compliance wird durch das Team von LegalTegrity mit seiner jahrzehnte Erfahrung für uns wahr genommen. Des weiteren ist Jürgen Göhl zertifizierter Datenschutzbeauftragter und zertifzierter IT-Forensiker, also mit Einhaltung von Gesetzen und Verhalten befasst und zur Diskretion verpflichtet. Aus diesem Hintergrund kann er auch eine Ombudsfunktion einnehmen.

Unsere Lösung überzeugt. Keine Reklamation, keine Vertragsauflösungen.

Unsere faire Beratung und Umgang bleibt im Gedächtnis. Auch bei noch nicht getätigten Geschäften melden sich Kunden wieder bei uns.