IT-gestützt, per Telefon oder schriftlich

Worauf es bei der Auswahl von Whistleblower-Systemen ankommt

Organisationen müssen über mögliche Straftaten und Ethikverstöße in ihrem Betrieb informiert sein. Informanten aus einem Unternehmen, die unerkannt bleiben wollen, – seit Edward Snowden auch Whistleblower genannt – sollten dafür sogenannte Hinweisgeber-Systeme nutzen können.

Vertrauliche Kommunikationskanäle also, die ihnen Unternehmen und Behörden bereitstellen. Eine entsprechende Richtlinie, die das Einrichten von Whistleblower-Systemen für Unternehmen und Behörden verpflichtend vorschreibt, wurde bereits im Jahr 2019 von der EU verabschiedet. Stichtag zur Umsetzung der EU-Whistleblower-Richtlinie war der 17. Dezember 2021.

Anzeige

In Deutschland wurde die WB-Richtlinie jedoch bis heute nicht in nationales Recht umgesetzt, vermutlich aufgrund von Meinungsverschiedenheiten innerhalb der Großen Koalition. Unternehmen und Behörden befinden sich seither in einem rechtlichen Schwebezustand. Die juristischen Fachmeinungen, ob die Pflicht, einen Meldekanal für Unternehmen ab 250 Mitarbeitern bzw. für Gemeinden mit weniger als 10.000 Einwohnern einzurichten, nun rechtsgültig besteht oder nicht, gehen auseinander. Immerhin hat die deutsche Bundesregierung in ihrem Koalitionsvertrag im November 2021 ihre Absicht nach einer scharfen Umsetzung der EU-Richtlinie bekräftigt, jedoch keinen konkreten Zeitrahmen genannt.

 

 

Mehr als ein Kanal für Informanten

Bei der Einrichtung von Informations-Plattformen geht es nicht nur darum, Interna anonym weiterzugeben. Ein funktionierendes und dabei zugleich DSVGO-konformes Meldesystem kann wesentlich dazu beitragen, den Kulturwandel in Unternehmen hin zu einer gelebten Fehlerkultur und offeneren Kommunikation zu beschleunigen und bei Mitarbeitenden, Partnern, Kunden oder Mitbürgern in der allgemeinen Öffentlichkeit Vertrauen zu schaffen. Damit das funktioniert, bedarf es jedoch verbindlicher Compliance-Regeln und eines strikten Code-of-Conduct für staatliche Stellen und die Privatwirtschaft.

Bei der Wahl eines Meldekanals gibt es mehrere Möglichkeiten. Briefkästen, Anrufbeantworter, Hotlines oder E-Mail-Postfächer scheinen auf den ersten Blick einfach zu implementierende und leicht handhabbare Instrumente zu sein. Weitere Optionen sind IT-gestützte, speziell für Whistleblower entwickelte Hinweisgebersysteme. Alternativ können die Verantwortlichen auch eine vertrauenswürdige, neutrale Ombudsperson benennen.

Einen Hinweis abzugeben ist für die Urheber immer mit großen Ängsten verbunden. Die meisten befürchten, dass ihre Identität trotz Sicherheitsmaßnahmen aufgedeckt wird und sie Anfeindungen, Repressalien oder beruflichen Nachteilen ausgesetzt sind. Schon eine Kleinigkeit kann ausreichen, dass sie einen Meldekanal als unseriös einstufen und ihn nicht nutzen. Ein vertrauenswürdiges Meldesystem kann dagegen das Abgeben einer Nachricht von einer potenziellen Straftat oder einem Ethikverstoß wesentlich erleichtern. Vertrauenswürdige Systeme sind in der Regel an den drei folgenden Merkmalen zu erkennen: Sie sind für den Hinweisgeber immer erreichbar, funktionieren problemlos und – der wichtigste Punkt – sie wahren zuverlässig die Anonymität des Meldenden.

NL Icon 2
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

24/7-Erreichbarkeit

Nicht jeder Meldekanal ist gleich gut erreichbar. So sind Briefkästen in Innenräumen von Unternehmen nicht immer zugänglich, Meldestellen bei Ombudspersonen nicht immer geöffnet oder Hotlines nicht immer besetzt. Hat sich der Informant endlich entschlossen, ist das Abgeben einer Meldung dann erschwert. Anrufbeantworter, E-Mail-Postfächer oder IT-gestützte Systeme sind hingegen immer, auch außerhalb der Arbeitszeiten erreichbar und für Externe zugänglich. Damit erfüllen sie eine wichtige Vorgabe der EU-Whistleblower-Richtlinie, die vorsieht, dass jeder jederzeit die Möglichkeit erhalten soll, Hinweise abzugeben.

Ohne Probleme auf Basis definierter Prozesse

Es genügt nicht, einen Meldekanal den Mitarbeitenden einfach nur bereitzustellen. Es müssen auch vertrauensvolle, neutrale Personen vorhanden sein, die den Kanal betreuen und beispielsweise regelmäßig den Briefkasten leeren, die Hotline besetzen oder den Anrufbeantworter abhören. Anschließend müssen die eingegangenen Meldungen in irgendeiner Form weitergeleitet oder weiterverarbeitet werden. Am aufwändigsten dürfte es sein, eine Meldestelle für eine Ombudsperson einzurichten. Diese benötigt ein eigenes, abgeschlossenes Büro und muss während der Sprechstunden am Platz sein. Ähnlich personalintensiv ist eine Hotline.

Vor der Installation eines Kanals, sollten die Verantwortlichen einen Prozess definieren, der festlegt, in welcher Form und von welchen Mitarbeitenden die Hinweise bearbeitet, nachverfolgt und archiviert werden. Die EU-Richtlinie sieht zudem eine Dokumentationspflicht vor.

Asynchrone Meldekanäle, bei denen der Hinweisgeber seine Meldung einfach nur abgibt und nicht erst mit einem Empfänger kommunizieren muss, sparen hier deutlich Zeit. Es ist völlig ausreichend, wenn der verantwortliche Bearbeiter eines Unternehmens beispielsweise den Anrufbeantworter in regelmäßigen Intervallen abhört. IT-gestützte Systeme verschicken, sobald ein neuer Hinweis eingegangen ist, automatisiert eine Nachricht. Viele bieten zusätzlich eine sichere Archivierungsfunktion. Für den Fall eines Medienbruchs, bei dem Informationen beim Übertragen in ein anderes Medium – beispielsweise in ein administratives System – gelöscht oder modifiziert werden – ließen sie sich so sicher wiederherstellen.

Die Anonymität des Meldenden immer verwahren

Wie schon erwähnt, ist die Angst, entdeckt zu werden, bei Whistleblowern dominant. Selbst ein High-End-Meldekanal mit einer ausgereiften, datenschutzkonformen Sicherheitstechnologie wird daran erst einmal nichts ändern. Es ist davon auszugehen, dass ein Whistleblower alles versuchen wird, um auf keinen Fall mit dem Hinweis in Verbindung gebracht zu werden.

Viele denkbar banale Faktoren können den Whistleblower verraten und ihn des Vertrauens in das Hinweisgebersystem berauben. Bei physischen Meldekanälen liegt das oft schon an einer ungünstigen Position des Briefkastens. Befindet dieser sich an einem zentralen Durchgang, auf dem der Hinweisgeber von vielen Kollegen gesehen werden kann, wird er zögern oder ganz von einer Meldung absehen. Es kann sich auch herausstellen, dass die anfangs so vertrauenswürdig und neutral erscheinende Ombudsperson zu einer Kanzlei gehört, die das Unternehmen seit Jahren umfassend berät und unter Umständen auch den Hinweisgeber verrät. Bei den digitalen E-Mail-Varianten kann es dem Hinweisgeber passieren, dass er das Postfach nur über seinen Firmen-E-Mail-Account nutzen kann. Oder er stellt fest, dass der Anrufbeantworter an einer leicht zugänglichen Stelle steht und die Absendernummer gut sichtbar auf dem Display angezeigt wird.

IT-gestützte Hinweisgebersysteme bieten hier eindeutige Vorteile. Vor allem lassen sie sich so implementieren, dass sie auch außerhalb der IT-Infrastruktur des Unternehmens genutzt werden können. Nach anonymer Eingabe der Nachricht in das System durch den Hinweisgeber wird diese mit sicherer Ende-zu-Ende-Verschlüsselung übermittelt und ausschließlich berechtigten Empfängern zugewiesen. Hinweisgeber können sich so sicher sein, dass ihre Anonymität gewahrt ist und sie beim Abgeben der Meldung nicht von Dritten beobachtet werden.

Fazit

Es ist nur eine Frage der Zeit, dass Hinweisgebersysteme für Unternehmen zum Standard werden. Vor allem beim frühen Erkennen von Fehlern und Problemen können sie einen wichtigen Beitrag leisten und dadurch Nachteile und unerwünschte Folgen für das Unternehmen rechtzeitig abwenden. Damit das gelingt, müssen Unternehmen jedoch eine positive und konstruktive Fehlerkultur etablieren und offene Kommunikationsformen fördern. Außerdem sollten sie sichere, DSVGO-konforme technische Systeme nutzen, die den Hinweisgebern hundertprozentige Anonymität garantieren.

Ari Albertini

FTAPI Software GmbH -

Revenue Flow Manager sowie Mitglied der Geschäftsleitung

Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI. Als Wirtschaftsinformatiker (M.Sc.) und Alumni der TU München verfügt er über mehr als 10 Jahre Erfahrung im Bereich der Strategieentwicklung,
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.