Whistleblower-Richtlinie ab Ende 2021 5 Tipps zum Whistleblower-Schutz für Unternehmen

Autor / Redakteur: Kai Leisering / Peter Schmitz

Viele betroffene Unternehmen wissen noch nichts davon und sind nicht ausreichend darauf vorbereitet: 2021 tritt in Deutschland das neue Whistleblower-Gesetz in Kraft. Konkret bedeutet das für Unternehmen mit über 250 Mitarbeitenden, dass sie ein sicheres und anonymes Hinweisgebersystem zur Verfügung stellen müssen. Was gilt es dabei zu beachten?

Firma zum Thema

Ab 17. Dezember 2021 müssen die ersten Unternehmen, Behörden und Gemeinden in Deutschland sichere interne Meldekanäle für Whistleblower bereitstellen.
Ab 17. Dezember 2021 müssen die ersten Unternehmen, Behörden und Gemeinden in Deutschland sichere interne Meldekanäle für Whistleblower bereitstellen.
(Bild: gemeinfrei / Pixabay )

In den letzten Jahren rückte das Thema Whistleblower-Schutz verstärkt in das öffentliche Bewusstsein und wurde zunehmend in der Politik und in den Medien diskutiert. Aktueller Anlass hierfür ist die vom EU-Parlament beschlossene „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, kurz „Whistleblowing-Richtlinie“, die am 17. Dezember 2021 in Kraft treten wird. Betroffen sind zuerst Unternehmen mit mehr als 250 Mitarbeiter*innen oder mehr als 10 Millionen Euro Jahresumsatz, öffentliche Einrichtungen und Behörden sowie Gemeinden ab 10.000 Einwohner*innen. Ab 2023 folgen dann Unternehmen mit über 50 Mitarbeiter*innen. Sie alle müssen sichere interne Meldekanäle für Whistleblower bereitstellen. Was bedeutet dies nun für betroffene Firmen? Stellt das neue Gesetz schlichtweg mehr Pflicht, Bürokratie und Regulierung dar oder können Unternehmen darin auch eine Chance auf Stärkung ihrer eigenen Unternehmenskultur und Werte sehen?

Doch zuerst mal eine kurze Übersicht, was es mit der Whistleblowing-Richtlinie genau auf sich hat:

Worum geht es in der Whistleblowing-Richtlinie?

Die Richtlinie will Hinweisgeber*innen bzw. Whistleblower*innen auf europäischer Ebene unter einen einheitlichen Schutz stellen und somit Menschen unterstützen, die Rechtsverstöße gegen EU-Recht und nationales Recht melden. Sie sollen auf Missstände hinweisen können, ohne rechtliche Konsequenzen oder anderweitige Repressalien bzw. Benachteiligungen durch die Arbeitgeber*innen befürchten zu müssen.

Die anonyme Hinweisabgabe muss entweder schriftlich über ein Online-System, einen Briefkasten, oder per Postweg und/oder mündlich per Telefonhotline oder Anrufbeantwortersystem ermöglicht werden.

5 praktische Tipps für die Umsetzung der Whistleblowing-Richtlinie

Tipp 1: Bieten Sie Mitarbeitenden einen internen Kanal und minimieren Sie damit finanzielle und reputative Unternehmensrisiken

Die Richtlinie empfiehlt einen dreistufigen Meldevorgang, zu welchem Hinweisgeber*innen aber ausdrücklich nicht verpflichtet sind:

  • 1. Die interne Meldung
  • 2. Eine Meldung an die zuständige Behörde wie z. B. das Finanzamt oder das Gesundheitsamt
  • 3. Eine Meldung an die Öffentlichkeit, z. B. an Pressevertreter

Um Reputationsschäden und hohe finanzielle Risiken zu vermeiden, sollten Unternehmen sich um eine gute interne Lösung kümmern und diese den Mitarbeitenden kommunizieren. Somit lassen sich unabsehbare Risiken minimieren und zudem stärken Sie das Vertrauen Ihrer Mitarbeitenden.

Tipp 2: Welche Kriterien sollten Sie bei der Wahl des geeigneten Meldekanals für Ihr Unternehmen beachten?

Bei der Auswahl sollten die Vor- und Nachteile der Kanäle gegeneinander abgewogen werden. Briefe und Telefonanrufe können sich schnell als kommunikative Einbahnstraßen herausstellen. Eine mittlerweile gängige Best Practice-Lösung stellen daher Online-Systeme dar, die orts-, zeit- und sprachunabhängig eingesetzt werden können.

Ein weiterer Vorteil von elektronischen Hinweisgebersystemen ist, dass die meisten Systeme mithilfe eines digitalen Briefkastens die geschützte Kommunikation zwischen Bearbeiter*innen und Hinweisgeber*innen ermöglichen.

Das wichtigste Kriterium bei der Auswahl der Software sollte jedoch auf dem Thema Sicherheit liegen. Informieren Sie sich daher gründlich über die Hinweisgebersysteme auf dem Markt, denn sicher ist nicht gleich sicher. Die Möglichkeit zur Rückverfolgung der Identität variiert von Plattform zu Plattform.

Vertrauen Sie am besten auf Anbieter, die nur die höchsten Sicherheitsstandards anbieten und folgendes nachweisen können:

  • Keine Datenlagerung in der Cloud, sondern Speicherung der sensiblen Daten in zertifizierten Hochsicherheitsrechenzentren
  • Regelmäßige und unabhängige Audits und Zertifizierungen
  • ISO-27001-Zertifizierung für Software UND die Hochsicherheitsrechenzentren
  • Die regelmäßige Durchführung manueller Penetrationstests von externen und international renommierten Sicherheitsdienstleistern

Tipp 3: Wer sollte die eingehenden Meldungen bearbeiten und wie lange haben Unternehmen Zeit, auf Hinweise zu reagieren?

Unabhängig davon, welchen Meldekanal Sie wählen, sollten Sie Mitarbeiter*innen mit der Bearbeitung der Meldungen betrauen, die speziell geschult und auch mit den geltenden Datenschutzvorschriften vertraut sind. Dadurch wird sichergestellt, dass sie die Meldungen effizient bearbeiten und die Kommunikation mit den Hinweisgebenden sowie geeignete Folgemaßnahmen einleiten können.

Die Hinweisbearbeiter*innen sollten, je nach Unternehmensgröße, idealerweise in der Compliance-, Rechts- oder Personalabteilung angesiedelt sein. In kleineren Unternehmen können dies aber beispielsweise auch die Datenschutzbeauftragten übernehmen.

Eingehende Meldungen und Folgemaßnahmen müssen zudem sorgfältig dokumentiert werden. Hinweisgebende sollten innerhalb von drei Monaten darüber informiert werden, welche Folgemaßnahmen und weiteren Rückmeldungen zu erwarten sind.

Tipp 4: Welche Missstände dürfen gemeldet werden?

Hinweise können sich auf interne Missstände und Verfehlungen beziehen, wie z. B. die Verletzung interner Richtlinien und Regelungen („Code of conduct“), Verstöße gegen das allgemeine Gleichbehandlungsgesetz, sexuelle Belästigung, Diskriminierung, Korruption, Diebstahl, Betrug und Wettbewerbsverstöße.

Tipp 5: Wie lange dauert die Umsetzung des eigenen Hinweisgeber-Meldesystems?

Die Implementierung kann je nach Größe und Komplexität der Organisationsstruktur einige Wochen bis Monate in Anspruch nehmen, daher empfiehlt es sich, frühzeitig mit der Umsetzung zu beginnen.

Kai Leisering ist Geschäftsführer der Business Keeper GmbH.
Kai Leisering ist Geschäftsführer der Business Keeper GmbH.
(Bild: Mathias Richter)

Vereinzelt gibt es bereits Software-Lösungen, die sich als Self-Service-System speziell an kleine und mittlere Unternehmen mit bis zu 750 Mitarbeiter*innen richten. In wenigen Minuten können KMU damit ihr eigenes Hinweisgebersystem einrichten und so schnell und unkompliziert die Richtlinie erfüllen, ohne großen Aufwand und hohe Kosten.

Über den Autor: Kai Leisering unterstützt als Geschäftsführer der Business Keeper GmbH das 2001 gegründete Unternehmen auf dem Weg zum weltweit führenden Anbieter von Compliance-Lösungen. Er hilft Unternehmen dabei, hochwirksame Mechanismen zu schaffen, die dazu beitragen, Wirtschaftskriminalität wie Korruption, Geldwäsche und andere schwere Verbrechen gegen die Gesellschaft zu verhindern und zu bekämpfen.

(ID:47330613)