Digital und DSGVO-konform
Von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH
Am 16. Dezember dieses Jahres läuft für die Bundesrepublik die Frist zur Umsetzung der EU-Whistleblower-Richtline 2019/1937 ab. Diese Richtlinie, die den besseren Schutz von Whistleblowern vorschreibt, ist bereits seit dem 16. Dezember 2019 in Kraft getreten. Da der Referentenentwurf des Bundesministeriums der Justiz über die Vorgaben der EU-Richtlinie hinausgeht, konnten sich die Koalitionspartner bisher noch nicht auf ein entsprechendes Gesetz verständigen. Doch auch wenn das Gesetzgebungsverfahren derzeit stillsteht, ist zu erwarten, dass das Gesetz Mitte Dezember 2021 in Kraft treten wird. Unternehmen mit mehr als 249 Mitarbeitern sind somit ab dem Stichtag 17. Dezember 2021 verpflichtet, ein entsprechendes Hinweisgebersystem zur Verfügung zu stellen. Gleiches gilt auch für Kommunen mit mehr als 10.000 Einwohnern.
Mehr Details und weitere Fakten hierzu finden Sie auch in unserem Blog-Beitrag Hinweisgeberschutzgesetz vom 6. Mai 2021.
Welche Anforderungen sind zu erfüllen?
Der Referentenentwurf für das nationale, deutsche Gesetz definiert unter anderem diese wesentlichen Anforderungen:
- Betreuung durch unabhängige und qualifizierte Personen
- Uneingeschränkter Zugang für alle Beschäftigten
- Dokumentation der eingehenden Meldungen
- Schutz der Vertraulichkeit und Anonymität sowie Beachtung des Datenschutzes
- Eingangsbestätigung innerhalb von sieben Tagen
- Innerhalb von drei Monaten: Mitteilung der ergriffenen (Folge-)Maßnahmen
Mit E-Mail, Telefon und Post sollten dem Whistleblower/Hinweisgeber auch weiterhin die herkömmlichen Medien für seinen Hinweis zur Verfügung stehen. Auch eine von der Organisation bestellte (externe) Ombudsperson oder die vorgesetzte Person im Unternehmen, die für ein persönliches Gespräch zur Verfügung stehen, können Teil des Hinweisgebersystems sein. Im Hinblick auf die anonyme Kommunikation, die das Gesetz zum Schutz des Whistleblowers fordert, sind diese Wege jedoch nahezu ungeeignet, bzw. erschweren die geforderte anonyme Kommunikation erheblich. Wie soll die zuständige Person einer Organisation eine Person erreichen, von der sie weder eine E-Mail-Adresse, eine Telefonnummer oder sogar eine Anschrift hat?
Um also die gesetzlich vorgeschriebenen Punkte, wie durchgängige Betreuung oder termingerechte Mitteilungen dennoch zu erfüllen, bliebe lediglich die Veröffentlichung des Vorgangs im Intranet, auf der Homepage der Organisation oder, wie in derzeit gängigen Systemen beschrieben, die Veröffentlichung in einer Zeitung. Damit würde jedoch die Anonymität und insbesondere die Vertraulichkeit nicht mehr komplett gewährleistet werden können, da sich unbeteiligte Dritte, aufgrund der veröffentlichten Details ein Bild von dem Vorgang machen könnten.
Und wohlgemerkt, es geht hier nicht darum, ein mögliches Ergebnis oder getroffene Maßnahmen bekanntzugeben. Erforderlich ist darüber hinaus, siehe oben, während des gesamten Prozesses die anonyme Kommunikation, um unter anderen sowohl die Eingangsbestätigung innerhalb der gesetzlichen Frist zu gewährleisten als auch die Betreuung der hinweisgebenden Person während des gesamten Prozesses sicherzustellen.
Anonyme Kommunikation – digital und DSGVO-konform
Die Lösung ist in diesen Tagen, wie so häufig, das Hinweisgebersystem digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren.
Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen.
Im SAVISCON GRC-COCKPIT erhält die hinweisgebende Person direkt nach dem Absetzten des Hinweises einen QR-Code mit einer persönlichen PIN. Hierüber wird eine absolut anonyme Kommunikation mit den Verantwortlichen der Organisation sichergestellt.
Durch eine leichte Erreichbarkeit der Meldeplattform, etwa im Intranet oder auf der Homepage, sowie eine einfache Handhabung des Systems für die Hinweisgebenden sollten Hemmschwellen abgebaut und während des gesamten Prozesses eine vertrauliche Basis zum Austausch notwendiger Informationen geschaffen werden. Das Daten verschlüsselt übermittelt werden müssen, versteht sich dabei schon fast von selbst.
Eine entsprechende Software sollte eine effiziente und direkte Fallbearbeitung vom Eingang des Hinweises über die Würdigung bis zur Einleitung entsprechender Maßnahmen im angeschlossenen Compliance-Management-System ermöglichen.
Mittels einer geeigneten Software, in die Unternehmen idealerweise weitere Managementsysteme, wie das Qualitäts- oder Umwelt-Management integrieren oder anbinden können, werden die bearbeitenden Personen automatisch an einzuhaltende Fristen erinnert und können Termine für Wiedervorlagen setzten.
Hinweisgebersystem als Teil einer Compliance-Management-Software
Mit unserer Compliance-Management-Software, dem SAVISCON GRC-COCKPIT, halten Unternehmen zusammen, was zusammengehört und integrieren ihr Hinweisgebersystem in das
Ihrer Organisation oder Kommune. Die oben genannten Anforderungen erfüllt das GRC-COCKPIT in vollem Umfang. Dabei integriert sich der digitale Kanal nahtlos in die bereits etablierten anderen Kanäle, soweit vorhanden, wie das folgende Bild zeigt:
Sofern sich ein Hinweis nach einer Würdigung als relevant herausstellt, sind innerhalb einer Organisation zumeist mehrere Abteilungen (Organisationseinheiten) an den daraus resultierenden Maßnahmen und deren Überwachungen beteiligt. Auch hier bietet unsere Software erhebliche Vorteile durch Funktionen zur digitalen Zusammenarbeit. So werden nicht nur Medienbrüche vermieden, sondern die digitale Bearbeitung in einem System erzeugt maximale Transparenz und ermöglicht darüber hinaus eine deutliche Zeitersparnis.
Mit der Abbildung der oben genannten Managementsysteme zusammen mit dem Hinweisgebersystem in einer Anwendung verbessern Unternehmen nicht nur die Transparenz, sondern sie vermeiden auch eine unkoordinierte Anhäufung von IT-Anwendungen, in dem pro Managementsystem eine Spezialanwendung implementiert oder installiert wird und minimieren somit den Aufwand für die IT-Sicherheit und den Datenschutz.
Ganz am Schluss noch ein Hinweis aus der Praxis. Sollte es einmal zu einer gerichtlichen oder behördlichen Auseinandersetzung kommen, wirkt sich das Vorhandensein eines strukturierten und revisionssicheren CMS, in der die Abläufe zum konkreten Fall durchgängig dokumentiert sind, in der Regel positiv auf die Urteilsfindung in Bezug auf die Organisation aus.
Über den Autor:
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de