Praxis-Tipps: Hinweisgeberschutzgesetz digital abbilden
HinSchG mit einer Software abbilden
Von Ingo Simon, Geschäftsführer der SAVISCON GmbH
Das Hinweisgeberschutzgesetz ist noch immer nicht zu nationalem Recht geworden. Deutschland hat den von der EU gesetzten Termin zur Einführung eines Gesetzes, das die EU-Whistleblower-Richtlinie umsetzt, am 17.12.2021 verstreichen lassen. Die aktuelle Bundesregierung schreibt im Koalitionsvertrag, dass sie das Gesetz umsetzen wird, jedoch binden die aktuellen Krisen vorerst die vorhandenen Ressourcen.
„Na gut“ könnte man meinen, „dann stelle ich das zurück, bis es wieder auf der Agenda erscheint. Dann diskutieren die ohnehin noch so lange, dass mir reichlich Zeit für einen Umsetzung bleibt“. Aus meiner Sicht ist das keine gute Idee, zeigt doch die Regierung in vielen Themen recht große Einigkeit. Und die EU-Kommission hat am 27. Januar 2022 mit der Einleitung des förmlichen Vertragsverletzungsverfahrens gegen Deutschland den Druck erhöht. Das Gesetz könnte also schneller kommen, als derzeit vermutet.
Das sind Argumente, um sich mit der Einführung eines Hinweisgebersystems genau jetzt auseinanderzusetzen. In diesem Artikel möchte ich aufzeigen, welche Punkte wesentlich für die Umsetzung eines digitalen Hinweisgebersystems sind (Stichwort im folgenden Text: „Praxis-Tipp“). Dazu orientieren wir uns an den Kernanforderungen des Referentenentwurfs (RefE). Seine für diesen Kontext relevanten Anforderungen finden sich relativ deckungsgleich auch in der EU-Richtlinie wieder.
Zentrale Anforderung: Einrichtung einer internen Meldestelle
Diese Anforderung findet sich im Referentenentwurf genauso wie in der EU-Richtlinie (Artikel 7 Abs (2)). Sie ist die Grundlage für die Einführung eines Hinweisgebersystems: Die Unternehmen und Organisationen sollen dafür Sorge tragen, dass sie eingehende Meldungen intern unter den Voraussetzungen des Hinweisgeberschutzgesetzes abarbeiten können.
Praxis-Tipp: Ein Hinweisgebersystem stellt die Pforte zur internen Meldestelle dar.
Artikel 8 der Richtlinie (Artikel 12 im RefE) schreibt für Unternehmen und Organisation die Pflicht vor, diese Pforte einzurichten. Grundsätzlich muss, bleiben wir beim Bild der Pforte, diese für alle Mitarbeitenden der Organisation offen sein. Zusätzlich kann sie aber auch für alle Personen geöffnet werden, die mit der Organisation beruflich zu tun haben, z. B. Lieferanten, Dienstleister, etc.
Praxis-Tipp: Neben Telefon, Briefkasten und offener Tür benötigt die Organisation eine digitale Pforte, die die Abgabe von Meldungen ermöglicht. Diese digitale Pforte musss dort präsent sein, wo die o. g. Personen darauf Zugriff haben. Es empfiehlt sich also die Bereitstellung der digitalen Pforte im Intranet und – sofern gewollt – auch auf der Webseite der Organisation.
Festlegung des Verfahrens: funktionale Mindestanforderung für ein Hinweisgebersystem
Im Artikel 9 der EU-Richtlinie stehen die prozessualen Anforderungen für ein Hinweisgebersystem. Hier steht die Wahrung der Vertraulichkeit für die meldende Person, aber auch für möglicherweise in der Meldung genannte Dritte, ganz vorne.
Praxis-Tipp: Ein System muss über Möglichkeiten verfügen, die Rollen und Rechte an entsprechende Personen so zu verteilen, dass diese Vertraulichkeit gewährleistet wird. Übrigens heißt das, dass vor der Implementierung eines Systems ein entsprechender Prozess definiert werden muss.
Interessanterweise sieht die EU-Richtlinie eine anonyme Meldung vor, schränkt aber ein, dass die Nationalstaaten entscheiden müssen, ob anonyme Meldungen bearbeitet werden müssen. Tatsächlich wird es im Referentenentwurf abgelehnt, die Bearbeitung anonymer Meldungen zur Pflicht zu machen. Eine Schwäche im Entwurf, ist es doch erwiesen, dass ein Hinweisgebersystem eben genau dann vermehrt genutzt wird, wenn es die Möglichkeit bietet, (vorerst) anonym die Meldung abzugeben. Also sollte ein System auch eine anonyme Meldung zulassen und Werkzeuge zur Verfügung stellen, welche die anonyme Kommunikation zwischen der Meldestelle und der meldenden Person mindestens so lange ermöglicht, bis ein ausreichendes Vertrauensverhältnis besteht, um sich zu offenbaren.
Praxis-Tipp: Es gibt diverse technische Möglichkeiten, die digitale Pforte auch anonymen Meldenden zu öffnen. Das kann mit einem generierten E-Mail-Account gehen, oder mit Formularen auf Webseiten. Wichtig: Auch diese anonyme Kommunikation muss vollständig dokumentiert und nachvollziehbar sein. Außerdem muss die digitale Pforte technisch so implementiert sein, dass z. B. bei Meldungen via Intranet keine technischen Rückschlüsse auf die anonym meldende Person gezogen werden können.
Die letzten wichtigen Anforderungen befassen sich mit dem zeitlichen Ablauf des Verfahrens. Nach spätestens 7 Tagen soll die meldende Person eine Eingangsbestätigung bekommen. Nach spätestens 3 weiteren Monaten soll die Information über die Folgemaßnahmen an die meldende Person kommuniziert werden. Sonst hat diese das Recht, sich an externe Meldestellen oder gar an die Öffentlichkeit zu wenden.
Praxis-Tipp: Das Hinweisgebersystem muss das Datum des Eingangs der Meldung speichern. Auch bei anonymen Meldungen muss ein technisches Verfahren bereitgestellt werden, wie die Bestätigung die meldende Person erreicht. Auf Basis des Eingangsdatums muss das System Fristen setzen, wann die Bearbeitung insoweit beendet sein muss, dass Folgemaßnahmen auf den Weg gebracht wurden. Überschrittene Fristen sollten zu Alarmen oder zur Eskalation führen.
Fazit
Die Bereitstellung und der Betrieb eines Hinweisgebersystems ist ein wesentlicher Teilprozess des Compliance Managements (siehe auch DIN ISO 37301 Abs A.8.3). Allein die Tatsache, dass eine Organisation ein Hinweisgebersystem bereitstellt, hält potenzielle Täter davon ab, sich offensichtlich non-compliant zu verhalten.
Die Anforderungen, die von einem Hinweisgebersystems erfüllt werden müssen, sind recht klar in den gesetzlichen Grundlagen dargelegt. Bei der Auswahl eines Systems sollten daher zwei Dinge eine wesentliche Rolle spielen:
- Die möglichst nahtlose Einbindung in ein digitales Compliance-Managementsystem
- Die Konzentration auf die wesentlichen Anforderungen: digitale Pforte, Wahrung der Vertraulichkeit, Einhaltung der Fristen
Wenn man sich nicht durch lange Feature-Listen vom Wesentlichen ablenken lässt, kann die Einführung eines digitalen Hinweisgebersystems ihren Schrecken verlieren und auch mit überschaubarem Budget und Zeitaufwand durchgeführt werden.
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446