Anzeige

Whistleblowing

Bild: Khosro / Shutterstock.com

Das Ziel der EU-Whistleblowing-Richtlinie ist klar: Personen, die Verstöße gegen das EU-Recht melden wollen, sollen künftig stärker geschützt werden. Damit das auch in Deutschland der Fall ist, soll die Richtlinie noch bis Ende des Jahres in deutsches Recht gegossen werden. Ab dann sind Unternehmen dazu aufgefordert, die Richtlinie auch intern umzusetzen. 

Hier sind besonders die kleinen und mittelständischen Unternehmen (KMU) gefragt, welche mit 99,4 Prozent den Großteil aller deutschen Unternehmen ausmachen. Diese werden mit der Implementierung eines Hinweisgebersystems getreu der Richtlinie jedoch vor einige Herausforderungen gestellt. Im Gegensatz zu großen Unternehmen haben kleine und mittelständische Unternehmen meist keine eigenen Compliance-Abteilungen, die sich hierum kümmern. 

Vor diesen Herausforderungen stehen kleine und mittelständische Unternehmen 

Kleine und mittelständische Unternehmen verfügen größtenteils über keine eigene Compliance-Abteilung, was heißt, dass es keine firmeninterne Anlaufstelle für Angestellten gibt, bei der diese Probleme und Rechtsverstöße melden können und im schlimmsten Fall stattdessen totgeschwiegen werden. Das es diese Anlaufstelle meist nicht gibt, liegt zum einen an der Größe des Unternehmens und an den damit verbundenen Kosten, diese einzurichten. Zum anderen gibt es außer bei Banken- und Finanzdienstleistern kaum eine gesetzliche Pflicht zur Einführung. 

Wenn diese Unternehmen nun zukünftig dazu verpflichtet sind, aufgrund der Umsetzung der EU-Richtlinie in deutsches Recht entsprechende Meldekanäle aufzubauen, geht es für die meisten darum, überhaupt erst einmal eine Fehlerkultur im Unternehmen aufzubauen. 

Interne Organisation wichtiger als die technische Umsetzung

Die technische Umsetzung bspw. durch einen IT-gestützten Meldekanals ist bei der Implementierung eines Hinweisgebersystems die kleinere Herausforderung und auch der geringere Kostenfaktor. Vielmehr muss es in erster Linie um die interne Organisation und die Frage, wer die Meldung bearbeitet und besonders wie mit den Meldungen umgegangen wird, gehen. Das deutsche Gesetz wird hier mit der genauen Ausführung der Richtlinie voraussichtlich noch in die Details gehen. Allerdings ist nur eine gelebte Fehlerkultur auch eine nützliche Fehlerkultur. 

Vorteile eines Hinweisgebersystems für kleine und mittelständische Unternehmen 

Die Vorteile eines Hinweisgebersystems werden im Unternehmen nach einiger Zeit auf mehreren Ebenen spürbar sein. Bei Hinweisen handelt es sich nicht immer ausschließlich um große Verstöße wie Steuerhinterziehung, Betrug, Geldwäsche oder Bestechung. Es geht vielmehr auch darum, dass Angestellte die Möglichkeit haben, Probleme oder Verbesserungen auf kleinerer Ebene anzusprechen, etwa im Team, der Abteilung oder an einem Standort. 

Whistleblower*innen haben bis dato immer noch den Ruf von Phantomgestalten, die in der dunklen Tiefgarage interne Akten übergeben, was jedoch kaum der Realität entspricht. Größtenteils handelt es sich hierbei einfach um Personen, die Missstände in Unternehmen aufdecken möchten, am besten bevor mögliche negative Konsequenzen auftreten. Und diese sollten einen geschützten Rahmen erhalten, um genau das auch tun zu können. Wenn das Hinweisgebersystem wie angedacht implementiert ist und funktioniert, wird man von ihnen idealerweise zukünftig in der Öffentlichkeit nicht mehr viel hören. Ein solches Hinweisgebersystem ist auch ein wichtiger interner Kanal hinsichtlich Deeskalation und frühzeitiger Problemidentifizierung. Damit nicht so lange mit einem Problem gewartet wird, bis es bereits zu spät ist. 

Von einem IT-gestützten Hinweisgebersystem profitieren

Konkret auf ein IT-gestütztes Hinweisgebersystem bezogen, bietet es zu den herkömmlichen Wegen wie über einer Sprechstunde, über eine allgemeine E-Mail-Adresse oder auch Fax mehrere Vorteile. 

Zu diesen gehört, dass die Einbindung des Meldeformulars ab nun auch außerhalb der Firmen-IT erfolgen kann. Darüber hinaus können interne Empfänger*innen fortan genau bestimmt werden und haben selbst nur per Login Zugriff auf Meldungen. Bei allgemeinen E-Mail-Adressen ist das nicht der Fall, da diese über den E-Mail-Server des Unternehmens gehen und meist auch für Systemadministratoren zugänglich sind. Ein weiterer Vorteil ist, dass das IT-gestützte Hinweisgebersystem 24/7 erreichbar ist für Meldeeingänge und es nicht nur kleine Zeitfenster gibt, in denen ein Hinweis abgegeben werden kann. Das IT-gestützte Hinweisgebersystem ermöglicht zudem DSGVO-konforme Meldungen sowie eine revisionssichere Dokumentation dieser. 

Fazit

Besonders die kleinen und mittelständischen Unternehmen sehen sich bei der Implementierung eines Hinweisgebersystems im Rahmen der EU-Whistleblowing-Richtlinie mit Schwierigkeiten konfrontiert, da diese meist noch keine firmeninterne Anlaufstelle haben, bei der diese Probleme und Rechtsverstöße melden können. Richtig angewandt, hilft ein Hinweisgebersystem Unternehmen deshalb, ihre Fehlerkultur zu verbessern und aufzubauen, sodass Angestellte die Möglichkeit haben, Probleme oder Verbesserungen auch auf kleinerer Ebene anzusprechen wie beispielsweise im Team. Ein IT-gestütztes Hinweisgebersystem bietet zudem Vorteile, wie die genaue Bestimmung der Empfänger*innen bei einer Meldung sowie eine DSGVO-konforme Dokumentation der Meldungen. Auch als interner Kanal ist ein Hinweisgebersystem wichtig, um Deeskalation und frühzeitige Problemidentifizierung im Unternehmen zu gewährleisten.

Ari Albertini, Revenue Flow Manager sowie Mitglied der Geschäftsleitung
Ari Albertini
Revenue Flow Manager sowie Mitglied der Geschäftsleitung, FTAPI Software GmbH
Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI. Als Wirtschaftsinformatiker (M.Sc.) und Alumni der TU München verfügt er über mehr als 10 Jahre Erfahrung im Bereich der Strategieentwicklung, IT-Beratung, Software-Development sowie Produktkonzipierungen. Bei FTAPI kümmert er sich zudem um Themen wie agiles Arbeiten und Innovationen und ist regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.

Artikel zu diesem Thema

Cookies
Jun 14, 2021

DSGVO-Beschwerden: Cookies im Fadenkreuz der Datenschützer

Es zeigt sich, dass Cookies für Unternehmen schnell eine Gefahrenquelle beim Thema…
DSGVO
Jun 12, 2021

Tipps zur Aufrechterhaltung der DSGVO-Compliance

Mit der Pandemie sind nun viele Berufstätige zunehmend abhängig von einem sicheren…

Weitere Artikel

Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Privacy by Design einmal ganz konkret

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.
Datenschutz

Ein Jahr Ende des Privacy Shields – Wie geht es jetzt weiter?

Ein Jahr ist es her, dass der Europäische Gerichtshof den sogenannten EU-US-Privacy Shield (auch EU-US-Datenschutzschild) für ungültig erklärte. Die Absprache war 2016 ausgehandelt worden und diente als Grundlage für den kommerziellen Datenaustausch…
Microsoft Office

Microsoft Office datenschutzkonform nutzen

Es ist kein Geheimnis: Bei der Nutzung von Microsoft Office werden die Daten in der Cloud gespeichert. Das ist wegen US Cloud Act und Schrems-II-Urteil datenschutzrechtlich problematisch. ownCloud erläutert, wie es eingesetzt werden kann, ohne gegen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.