Spring zum Hauptinhalt Spring zum Footer

Compliance Cloud | 03.09.2021

Notwendige Features interner Whistleblowing-Kanäle

von Markus Costabiei & Sascha Maschek

Am 17. Dezember 2021 endet die Umsetzungsfrist der europäischen Wistleblower-Richtlinie1. Bis dahin müssen die darin enthaltenen Vorschriften von sämtlichen Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Einrichtung von Whistleblowing-Systemen wird dann für Unternehmen mit mehr als 249 ArbeitnehmerInnen verpflichtend.

Durch die verpflichtende Einrichtung von Whistleblowing-Systemen soll ein unternehmensinterner Kommunikationskanal zwischen der HinweisgeberIn und dem betroffenen Unternehmen geschaffen werden. Dabei kann es sich z. B. um eine Hotline, ein E-Mail-Postfach oder eine Online Meldeplattform handeln. Die Geheimhaltung der HinweisgeberIn und der in der Meldung genannten Dritten muss dabei zu jeder Zeit sichergestellt werden. Ein E-Mail-Postfach wird daher den Vertraulichkeits-Ansprüchen in den meisten Fällen nicht genügen2. Das betroffene Unternehmen muss nach Eingang einer Meldung geeignete Maßnahmen ergreifen und der HinweisgeberIn eine Information zum Eingang der Meldung und der ergriffenen Maßnahmen erteilen.

Der HinweisgeberIn steht es frei zu wählen, ob sie den Hinweis über den internen Whistleblowing-Kanal melden oder sich direkt an die zuständige Behörde oder eine externe Stelle (z. B. Ombudsmann) wenden will. Unternehmen werden eine Meldung über den internen Kanal bevorzugen. Schließlich werden ihnen damit unverzüglich und unter Vermeidung möglicher PR-Desaster interne Missstände zur Kenntnis gebracht, sodass rasch entsprechende Maßnahmen umgesetzt werden können.

Unternehmen sollten daher darauf bedacht sein, ihre Mitarbeiter zur Nutzung der internen Meldesysteme zu motivieren. Laut einer aktuellen Umfrage zu Whistleblowing3, werden Mitarbeiter insbesondere durch (i) die Gewährleistung ihrer Anonymität bei der Meldung eines Missstands, (ii) die Sicherheit, keine Repressalien durch die Meldung befürchten zu müssen und (iii) die Bearbeitung der Meldung durch eine unabhängige Person, zur Nutzung von internen Meldesystemen ermutigt.

Zusammengefasst sollte ein internes Meldesystem daher sämtliche Meldungen übersichtlich sowie anonymisiert erfassen. Außerdem sollten eingegangenen Meldungen einfach verwaltbar sein, sodass sowohl die eingehaltenen Antwortfristen, als auch die gesetzten Schritte durch die Bearbeiter innerhalb des Unternehmens zu jeder Zeit objektiv mit Reports nachgewiesen werden können. Außerdem sollte durch technische Maßnahmen die Revisionssicherheit gewährleistet werden. Schließlich sollte die technische Hürde für die HinweisgeberIn durch einfache Meldeformulare und für die Sachbearbeiter durch eine intuitive Bedienoberfläche so niedrig wie möglich gehalten werden.

Genau diese Faktoren standen im Fokus bei der Entwicklung unseres ACC Whistleblowing Moduls. Das Modul basiert auf vier Grundprinzipien: Sicherheit, Transparenz, Revisionssicherheit und Benutzerfreundlichkeit.

Sicherheit

Obwohl Anonymität der WhistleblowerInnen nicht explizit von der Whistleblower-Richtlinie gefordert wird, ist es der wichtigste Faktor zur Ermutigung der eigene Mitarbeiter. Wir haben daher zahlreiche technische Maßnahmen ergriffen, um die Anonymität zu gewährleisten. So werden etwa proaktiv sämtliche Metadaten aus den Meldungen entfernt, sodass keine personenbezogenen Daten der HinweisgeberIn verarbeitet werden.

Zusätzlich zur systemimmanenten Verhinderung des Personenbezugs, verhindern wir mit unserem sicheren Übermittlungsprotokoll die ungewollte Veröffentlichung von Meldungen und das Mitlesen durch Dritte. Das Modul verfügt weiters über ein flexibles Rechte- und Rollenkonzept wodurch auch unbefugte Zugriffe von Innen ausgeschlossen werden können. Durch effektives Provider-Shielding können auch wir die Meldungen und die Daten der HinweisgeberIn weder einsehen noch bearbeiten.

Transparenz

Die Erstattung einer Meldung zu unternehmensinternen Missständen über einen internen Whistleblowing-Kanal erfordert Mut und Überwindung. Das Vertrauen in die Whistleblowing-Plattform ist daher essenziell. Aus diesem Grund hat die HinweisgeberIn bei unserem Modul die Möglichkeit ihre Meldung jederzeit aufzurufen, den Inhalt zu kontrollieren und zu ergänzen, ohne jedoch die ursprüngliche Meldung verändern zu können. Ergänzungen zur ursprünglichen Meldung werden als zusätzlicher Beitrag dazu aufgelistet.

Weiters kann die HinweisgeberIn zu jeder Zeit den Status ihrer Meldung einsehen und – bei Bedarf – mit der BearbeiterIn anonym kommunizieren. Unser 2-Wege Kommunikationssystem sorgt dabei für die dauerhafte Anonymität der HinweisgeberIn.

Revisionssicherheit

Das Whistleblowing-Modul kann mit unserem Trust Layer erweitert werden. Diese nutzt die einzigartigen Fähigkeiten der Notarisierung der Datensätze des Whistleblowing-Moduls. Damit kann sichergestellt werden, dass niemand eine eingehende Meldung unbemerkt löscht oder verändert. Außerdem lassen sich transparente Reports über eingegangen Meldungen und ihre Bearbeitung erstellen, die durch den Stempel der Revisionssicherheit unserer Notarisierungs-Lösung objektiv von jedermann nachgeprüft werden können. Die Daten werden dabei verschlüsselt und unlesbar notarisiert (mehr Infos zur Notarisierung im Lichte der DSGVO finden sie hier: Link)

Benutzerfreundlichkeit

Damit Whistleblowing-Systeme tatsächlich genutzt werden, muss die Usability für Unternehmen und HinweisgeberIn stimmen. Unser Modul zeichnet sich in diesem Zusammenhang insbesondere durch seine intuitive und konsistente Menüführung, durchdachte Features wie das anonyme 2-Wege Kommunikationssystem, die Anpassbarkeit der Menüs und Formulare sowie die eingebaute Übersetzungsfunktion aus.

Fazit: Unternehmen müssen bis Ende des Jahres handeln und ein geeignetes Whistleblowing-System implementieren. Dabei wird es entscheidend sein auf Sicherheit, Transparenz, Revisionssicherheit und Benutzerfreundlichkeit zu setzen.

Sie wollen mehr erfahren? Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit unserem Team!

Über die Autoren

Quellen und Erläuterungen

1 Richtlinie (EU) 2019/1937.

2 Man denke hierbei vor allem an Zugriffsmöglichkeiten von Systemadministratoren etc.

3 EY Österreich, Whistleblowing: Neue EU-Richtlinie fordert vertrauliche Meldekanäle | EY - Österreich (Stand: 25.08.2021).

Aktuelles

Verwandte Beiträge