FAQ zur Hinweisgeber-Richtlinie

§ 17 HinSchG Verfahren bei internen Meldungen (1) Die interne Meldestelle 1. 2. 3. 4. 5. 6. (2) ... bestätigt der hinweisgebenden Person den Eingang einer Meldung spätestens nach sieben Tagen, prüft, ob der gemeldete Verstoß in den sachlichen Anwendungsbereich nach § 2 fällt, hält mit der hinweisgebenden Person Kontakt, prüft die Stichhaltigkeit der eingegangenen Meldung, ersucht die hinweisgebende Person erforderlichenfalls um weitere Informationen und ergreift angemessene Folgemaßnahmen nach § 18.

Eingangsbestätigung

• Spätestens nach 7 Tagen (Textbaustein erstellen!)
• Wenn gewünscht: persönliches oder virtuelles Treffen ermöglichen

Ergreifen von Folgemaßnahmen

• Einleitung interner Nachforschungen: selber oder durch Dritte
• Mögliche Maßnahmen zur Behebung des Problems
• Verweis auf andere Kanäle oder Verfahren
• Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe
• Befassung einer zuständigen Behörde

Ein Hinweisgeber ist eine Person, die als Beschäftiger, Praktikant, Lieferant oder Externer Verstöße gegen EU-Richtlinien oder nationale, Regeln und Gesetze in einer Organisation feststellt und diese Information diskret zur Behebung melden will.

Laut einer Studie machen es sich Hinweisgeber nicht leicht, haben sogar eine hohe Bindung an ihre Organisation/Unternehmen und wünschen sich, dass der zur Meldung stehende Umstand schnell und möglichst störungsfrei aus der Welt geschafft werden kann. Deshalb wünschen sie sich als erstes das Gespräch mit einer Vertrauensperson, um ihre Beobachtung oder Kenntnis erst einmal zu besprechen. Sehr oft kommt es aber nicht dazu, weil weder Ansprech-Person noch Wege benannt sind und auch, weil die Vertrauensperson an sich eine zu große Hürde darstellt, mangels Vertrauen und Ungewissheit. Eine barrierefreie Lösung, 24/7/365, mehrsprachig, stellt für die Befragten eine akzeptable Lösung dar. Am schlechtesten wird eine Ombudsperson in Gestalt eines Rechtsanwaltes empfunden.

Nach Bundesratszustimmung am 12.05.2023: Umsetzung innerhalb 1 Monats zum 12.06.2023 für Unternehmen > 249 MA.

Die EU hat am 16. Dezember 2019 eine Richtlinie (2019/1937) beschlossen, indem Hinweisgeber durch die Richtlinie in der EU einen einheitlichen Schutz genießen und damit besser vor Repressalien geschützt werden.

Bis zum 16.12.2023 muss jedes Unternehmen ab 50 Mitarbeitern das HinSchG umsetzen. Details hier.

Ein Hinweisgeber-System, bestehend aus (digitaler) Hinweisgeberlösung, am besten einem Hinweisegeber-Management, fördert nicht das Denunziantenum, wie häufig im Mittelstand argwöhnisch betrachtet.

Ein Hinweisgeber hat in den allermeisten Fällen eine hohe Identifikation mit dem Unternehmen/Organisation, weil diese Person Zukunft im Unternehmen sehen will. Es soll etwas besser werden, oder ein ernsthaftes Problem gelöst werden.

Im Gegenteil: Ein Hinweisgeber-System fördert die Reputation des Unternehmens, der Organisation. Warum wir das sagen? Eine akademische Untersuchung unseres Netzwerkpartners Hensold zeigt:
1) Hinweisgeber haben eine hohe Bindung zum Unternehmen.
2) Hinweisgeber wenden sich in einem persönlichen Gespräch an einen Vorgesetzten, wenn dieser vertrauenswürdig ist.
3) Hinweisgeber gehen erst dann anonym, wenn es sich um einen schweren Vorfall handelt.
4) Hinweisgeber zögern, einen anonymen Hinweis abzugeben.
5. Insbesondere ausländische Arbeitnehmer würden einen anonymen Kanal bevorzugen.

Saas-Hinweisgebersystem und Lieferkettensorgfaltspflichtgesetz

Beispiel Bosch - Russland-Ukraine-Krieg - angebautes Teil

Ein Hinweisgeber könnte, theoretisch, barrierefrei, in Landessprache, einen Hinweis absetzen. Das Unternehmen hätte reagieren können. Zudem öffentlich könnte dieser glaubhaft ein funktionierendes Risikomanagementsystem kommunizieren. Auch beim Lieferkettensorgfaltspflichtgesetz kann unsere international barrierefrei cloudbasierte Lösung ein wichtiger Baustein sein, beispielsweise bei den Themen Menschenrechte, Umweltschutz.

Lieferktten werden Zug um Zug neu aufgebaut und verkettet

Ein funktionierendes SCM sollte ein funktionierendes Element wie ein Hinweisgebersystem enthalten, um Regelverstößen schnell nachgehen zu können. Ist ein Verstoß, gleich ob wissentlich verursacht oder nicht, erst einmal in den Medien und somit in der Öffentlichkeit, sind schnell Unternehmensressourcen auf vielen Ebenen gebunden und im schlimmsten Fall, reißen auch ganz schnell Lieferketten durch Auslistung.

Mandanten berichten: Eine Flut von Hinweisen ist ausgeblieben

Es werden Hinweise gemeldet, die für die Geschäftsleitung durchaus nützlich sind und weit entfernt von schweren Verstößen. Insbesondere ausländische Kollegen nutzen die digitale Hinweisgeberlösung. Heimische Kollegen suchen in erster Linie das Gespräch bei ihrem Vorgesetzten. Wissenschaftliche Untersuchungen zeigen aber, dass da wo das Direktgespräch nicht fruchtbar verlief oder vermutet werden kann, dass dann die digitale Lösung im Fokus der potenziellen Hinweisgeber steht. 

Digitale Lösungen sind besser akzeptiert als Briefkasten, Email oder Ombudsmann

Eine Untersuchung hat gezeigt: Digitale Hinweisgeberlösungen sind weniger negativ belastet. Die Ombudslösung steht vor Briefkasten oder Email.

Falls noch nicht erfolgt:

• Holen Sie sich Informationen über den Hinweisgeberschutz. Diese Information erhalten Sie über diesen Link.



• Checken Sie anhand unserer Checkliste Ihr Unternehmen auf mögliche Risiken ab.



• Ermöglichen Sie bereits jetzt einen sicheren, barrierefreien, dauerhaft diskreten Zugang für potentielle Hinweismeldungen, um nicht ungeschützt in eine Strafandrohung zu kommen.



• Setzen Sie die Vorgaben des Lieferkettenschutzgesetztes (LKSchG) unbedingt und möglichst schnell, spätestens zum 01.01.2023 um.



• Sind Sie sich nicht sicher, ob Briefkasten, Telefon, interner/externer Ansprechpartner wirklich dauerhaft diskret und barrierefrei sind, bzw. diese Form ggfs. wichtige Hinweise erst gar nicht zur Meldung kommen lässt, ist unsere kostengünstige Hinweisgeberlösung eine hervorragende Wahl, mit der Sie Erfahrung sammeln können.



• Falls Sie bereits eine „Lösung“ im Einsatz haben, verstecken Sie diese nicht, sondern tun Sie alles, damit diese auch diskret und barrierefrei nutzbar ist. Vor allem, stellen Sie sicher, dass möglichst viele davon erfahren. Unternehmen die damit lieber "hinter dem Berg halten" wird über kurz oder lang eher Misstrauen entgegen gebracht werden.

Der Briefkasten

Denkbar ist auch eine analoge Lösung (Post). Diese Möglichkeit ist in der praktischen Ausübung aufgrund Zeitnähe der Eingabebestätigung, Rückfragen eher die Ausnahme und in Fällen auch problematisch, wenn der Hinweisgeber im Ausland ist bzw. ein Dritter eingeschaltet ist. Zudem kann der Whistleblower nicht richtlinienkonform über den Stand der Bearbeitung informiert werden. Damit scheiden mit Inkrafttreten der EU-Hinweisgeber-Richtlinie Briefkasten-Lösungen aus. Ein Call-Center genügt nach den neuen rechtlichen Anforderungen nicht mehr.

Klassiker: Das Call-Center

Ein Klassiker zur Meldung von Hinweisen war lange das Call-Center. Darüber lässt sich eine Erreichbarkeit rund um die Uhr einfach gewährleisten. Die erhöhte Hemmschwelle bei Meldungen über Telefon führte in den letzten zehn Jahren allerdings dazu, dass immer weniger Hinweise abgegeben wurden. Hinzu kommen Sprachbarrieren und Missverständnisse durch Nicht-Muttersprachler auf einer oder sogar beiden Seiten des Telefons, die eine sinnvolle Aufnahme von Hinweisen als Grundlage für die Weiterbearbeitung beeinträchtigen. Ein Call-Center genügt nach den neuen rechtlichen Anforderungen nicht mehr. 

Compliance-Beaufragte

Je nach Unternehmensgröße scheint es naheliegend, die EU-Hinweisgeber-Richtlinie zu erfüllen, in dem man im Unternehmen einen Ansprechpartner benennt, an den sich Mitarbeiter wenden können, wenn sie einen Hinweis melden möchten. Dazu bieten sich Compliance-Beauftragte oder Ombudspersonen an. Je kleiner ein Unternehmen, desto mehr Überwindung wird es einen Whistleblower kosten, das direkte Gespräch zu suchen. Fast jeder hat schon einmal die Erfahrung gemacht, dass der Überbringer der schlechten Botschaft für dessen Inhalt bestraft wurde und nicht der Verursacher. Es ist daher zu bedenken, dass die Kommunikation mit diesen Ansprechpartnern für einen Whistleblower zwar vertraulich erfolgen kann, nicht jedoch anonym. Dies könnte Whistleblower davon abhalten, Missstände zu melden.

Nach dem Kompromiss vom 09.05.2023: Ja. Den Verordnungsgebern der EU, nicht aber dem deutschen Gesetzgeber kam es auf die Barrierefreiheit, Unabhängigkeit, Einfachheit an - und - dass die Informationen von einer unabhängigen, neutralen und fachkundigen Stelle geprüft werden. In Frage kommt hier eine Ombudsperson. Daraus ergibt sich bereits, dass auch eine Softwarelösung nicht mit der Firmencloud oder ungeigneter Software in Verbindung stehen soll. Zu Ende gedacht gibt es mit diesem Gesetzentwurf keinen Hinweisgeberschutz und jede Partei macht sich im Laufe des Verfahrens irgendwann, wenn nicht sauber arbeitend und zu weit aus dem Fenster lehnend, strafbar.

Der Briefkasten

Denkbar ist auch eine analoge Lösung (Post). Diese Möglichkeit ist in der praktischen Ausübung aufgrund Zeitnähe der Eingabebestätigung, Rückfragen eher die Ausnahme und in Fällen auch problematisch, wenn der Hinweisgeber im Ausland ist bzw. ein Dritter eingeschaltet ist. Zudem kann der Whistleblower nicht richtlinienkonform über den Stand der Bearbeitung informiert werden. Damit scheiden mit Inkrafttreten der EU-Hinweisgeber-Richtlinie Briefkasten-Lösungen aus. Ein Call-Center genügt nach den neuen rechtlichen Anforderungen nicht mehr.

Klassiker: Das Call-Center

Ein Klassiker zur Meldung von Hinweisen war lange das Call-Center. Darüber lässt sich eine Erreichbarkeit rund um die Uhr einfach gewährleisten. Die erhöhte Hemmschwelle bei Meldungen über Telefon führte in den letzten zehn Jahren allerdings dazu, dass immer weniger Hinweise abgegeben wurden. Hinzu kommen Sprachbarrieren und Missverständnisse durch Nicht-Muttersprachler auf einer oder sogar beiden Seiten des Telefons, die eine sinnvolle Aufnahme von Hinweisen als Grundlage für die Weiterbearbeitung beeinträchtigen. Ein Call-Center genügt nach den neuen rechtlichen Anforderungen nicht mehr. 

Ombudsperson

Eine Ombudsperson wird vom Unternehmen benannt. Diese Person muss einem potenziellen Hinweisgeber bekannt sein. Eine Ombudsperson muss 24/7/365 erreichbar sein und die Sprache des potenziellen Hinweisgebers sprechen. Ein Anrufbeantworter genügt nicht den rechtlichen Anforderungen. Die Neutralität und Diskretion muss von Anfang bis zum Ende durchgehalten werden. Rückfragen müssen möglich sein. Ein Vertrauensverhältnis ist mit entscheidend für Fortgang oder Abbruch. Eine Ombudsperson kostet Geld. Eine Ombudsperson muss über juristisches Grundwissen und die fachliche Kompetenz in Sachen Compliance und verwandter Gesetze verfügen. Ein Rechtsanwalt oder ähnliches käme grundsätzlich hierfür in Frage. Das kostet Geld.

Eine Ombudsperson genügt nach den neuen rechtlichen Anforderungen nicht mehr.

Compliance-Beaufragte

Je nach Unternehmensgröße scheint es naheliegend, die EU-Hinweisgeber-Richtlinie zu erfüllen, in dem man im Unternehmen einen Ansprechpartner benennt, an den sich Mitarbeiter wenden können, wenn sie einen Hinweis melden möchten. Dazu bieten sich Compliance-Beauftragte oder Ombudspersonen an. Je kleiner ein Unternehmen, desto mehr Überwindung wird es einen Whistleblower kosten, das direkte Gespräch zu suchen. Fast jeder hat schon einmal die Erfahrung gemacht, dass der Überbringer der schlechten Botschaft für dessen Inhalt bestraft wurde und nicht der Verursacher. Es ist daher zu bedenken, dass die Kommunikation mit diesen Ansprechpartnern für einen Whistleblower zwar vertraulich erfolgen kann, nicht jedoch anonym. Dies könnte Whistleblower davon abhalten, Missstände zu melden. Doch Vorsicht: Compliance-Beauftragte können sich strafbar machen.

Der Briefkasten

Denkbar ist auch eine analoge Lösung (Post). Diese Möglichkeit ist in der praktischen Ausübung aufgrund Zeitnähe der Eingabebestätigung, Rückfragen eher die Ausnahme und in Fällen auch problematisch, wenn der Hinweisgeber im Ausland ist bzw. ein Dritter eingeschaltet ist. Zudem kann der Whistleblower nicht richtlinienkonform über den Stand der Bearbeitung informiert werden. Damit scheiden mit Inkrafttreten der EU-Hinweisgeber-Richtlinie Briefkasten-Lösungen aus. Wenn der Briefkastenbereich per Video überwacht wird, ist diese Lösung nicht richtlinienkonform. Ein Call-Center genügt nach den neuen rechtlichen Anforderungen nicht mehr.

Klassiker: Das Call-Center

Ein Klassiker zur Meldung von Hinweisen war lange das Call-Center. Darüber lässt sich eine Erreichbarkeit rund um die Uhr einfach gewährleisten. Die erhöhte Hemmschwelle bei Meldungen über Telefon führte in den letzten zehn Jahren allerdings dazu, dass immer weniger Hinweise abgegeben wurden. Hinzu kommen Sprachbarrieren und Missverständnisse durch Nicht-Muttersprachler auf einer oder sogar beiden Seiten des Telefons, die eine sinnvolle Aufnahme von Hinweisen als Grundlage für die Weiterbearbeitung beeinträchtigen.  

Compliance-Beaufragte(r)

Je nach Unternehmensgröße scheint es naheliegend, die EU-Hinweisgeber-Richtlinie zu erfüllen, in dem man im Unternehmen einen Ansprechpartner benennt, an den sich Mitarbeiter wenden können, wenn sie einen Hinweis melden möchten. Dazu bieten sich Compliance-Beauftragte oder Ombudspersonen an. Je kleiner ein Unternehmen, desto mehr Überwindung wird es einen Whistleblower kosten, das direkte Gespräch zu suchen. Fast jeder hat schon einmal die Erfahrung gemacht, dass der Überbringer der schlechten Botschaft für dessen Inhalt bestraft wurde und nicht der Verursacher. Es ist daher zu bedenken, dass die Kommunikation mit diesen Ansprechpartnern für einen Whistleblower zwar vertraulich erfolgen kann, nicht jedoch anonym. Dies könnte Whistleblower davon abhalten, Missstände zu melden. Doch Vorsicht: Compliance-Beauftragte können sich strafbar machen.

Ombudsperson

Eine fachkundige (siehe EU-Richtline) Person kann zum Beispiel ein Rechtsanwalt sein, eine speziell ausgebildete Person (Compliance, juristisches Grundwissen). Diese Lösung dient manchen Mittelständlern als "Einstieg", um die Frequenz zu testen und um Kosten niedrig zu halten. Laut neuesten Studien scheuen aber Hinweisgeber, die ohnehin eine hohe innere Schwelle überwinden müssen, die zusätzliche, externe Hürde. Zu einem realistischen Messergebnis kommt es laut Studie daher nicht. Eine Ombudsperson verlangt für die Bereitschaft ggfs. ein Honorar. Weiterer Nachteil: Nicht 24/7/365 erreichbar. Ein Anrufbeantworter stellt eine weitere Hürde für den Hinweisgeber dar und stellt Anforderungen an die Diskretion. Doch Vorsicht: Interessenkonflikte beachten. Als Rechtsanwalt für ein Unternehmen tätig sein und andererseits "neutral" als Ansprechpartner für einen Hinweisgeber und dessen Identität und Integrität wahrend tätig sein? Es verspricht jedenfalls eine zusätzliche Einnahmequelle.

(47) Damit Verstöße gegen das Unionsrecht wirksam aufgedeckt und unterbunden werden können, müssen die ein­schlägigen Informationen rasch zu denjenigen gelangen, die der Ursache des Problems am nächsten sind, der Meldung am ehesten nachgehen können und über entsprechende Befugnisse verfügen, um dem Problem, soweit möglich, abzuhelfen. Aus diesem Grund sollten Hinweisgeber grundsätzlich darin bestärkt werden, zunächst die internen Meldekanäle zu nutzen und ihrem Arbeitgeber Meldung zu erstatten, sofern ihnen derartige Kanäle zur Verfügung stehen und vernünftigerweise erwartet werden kann, dass sie funktionieren.

(48) Bei juristischen Personen des Privatrechts sollte die Verpflichtung zur Einrichtung interner Meldekanäle in einem angemessenen Verhältnis zu ihrer Größe und dem Ausmaß des Risikos ihrer Tätigkeiten für das öffentli­che Interesse stehen. Alle Unternehmen mit 50 oder mehr Arbeitnehmern, die Mehrwertsteuer erheben müssen, sollten unabhängig von der Art ihrer Tätigkeiten interne Meldekanäle einrichten müssen. Die Mitgliedstaaten können nach einer geeigneten Risikobewertung auch anderen Unternehmen vorschreiben, in bestimmten Fällen interne Meldekanäle einzurichten, etwa aufgrund erheblicher Risiken, die sich aus ihrer Tätigkeit ergeben.

(49) Die Möglichkeit der Mitgliedstaaten, juristische Personen des privaten Sektors mit weniger als 50 Arbeitnehmern darin zu bestärken, interne Kanäle für Meldungen und Folgemaßnahmen einzurichten, indem sie unter anderem für diese Kanäle weniger strenge Anforderungen als in dieser Richtlinie vorgesehen festlegen, sofern durch diese Anforderungen die Vertraulichkeit der Meldung und ordnungsgemäße Folgemaßnahmen garantiert sind, sollte von der Richtlinie unberührt bleiben.

(50) Die Ausnahme für Klein- und Kleinstunternehmen von der Verpflichtung, interne Meldekanäle einzurichten, sollte nicht für Privatunternehmen gelten, die gemäß den in Teilen I.B und II des Anhangs genannten Rechtsakten der Union zur Einrichtung interner Meldekanäle verpflichtet sind.

(51) Sehen juristische Personen des privaten Sektors keine internen Meldekanäle vor, sollte es klar sein, dass es Hinweisgebern möglich sein sollte, Meldungen extern an die zuständigen Behörden zu richten, und dass sie nach Maßgabe dieser Richtlinie vor Repressalien geschützt sein sollten.

(53) Solange die Vertraulichkeit der Identität des Hinweisgebers gewahrt bleibt, kann jede juristische Person des privaten und öffentlichen Sektors selbst festlegen, welche Art von Meldekanälen einzurichten ist. Konkret sollten die Meldekanäle es Personen ermöglichen, schriftlich Meldung zu erstatten und diese Meldung auf dem Postweg, über einen Beschwerde-Briefkasten oder über eine Online-Plattform, sei es eine Plattform im Intranet oder im Internet, einzureichen, oder mündlich Meldung zu erstatten, über eine Telefon-Hotline oder ein anderes System für gesprochene Nachrichten, oder beides. Auf Anfrage des Hinweisgebers sollte es über diese Kanäle auch mög­ lich sein, innerhalb eines angemessenen Zeitraums im Rahmen von physischen Zusammenkünften Meldung zu erstatten.

(54) Auch Dritte könnten ermächtigt werden, Meldungen von Verstößen im Namen von juristischen Personen des privaten und öffentlichen Sektors entgegenzunehmen, sofern sie entsprechende Garantien für die Wahrung der Unabhängigkeit und Vertraulichkeit, des Datenschutzes und der Geheimhaltung bieten. Bei solchen Dritten könnte es sich um externe Anbieter von Meldeplattformen, externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter handeln.

(55) Interne Meldeverfahren sollten juristische Personen des privaten Sektors in die Lage versetzen, nicht nur den Meldungen ihrer Arbeitnehmer bzw. der Arbeitnehmer ihrer Tochterunternehmen oder verbundenen Unterneh­men (im Folgenden „Gruppe“) unter vollständiger Wahrung der Vertraulichkeit nachzugehen, sondern soweit möglich auch den Meldungen der Arbeitnehmer von Vertretern und Lieferanten der Gruppe sowie von Perso­nen, die im Rahmen ihrer beruflichen Tätigkeit mit dem Unternehmen und der Gruppe Informationen erhalten.

(56) Welche Personen oder Abteilungen innerhalb einer juristischen Person des privaten Sektors am besten geeignet sind, Meldungen entgegenzunehmen und Folgemaßnahmen zu ergreifen, hängt von der Struktur des Unterneh­mens ab; ihre Funktion sollte jedenfalls dergestalt sein, dass ihre Unabhängigkeit gewährleistet wird und Interes­senkonflikte ausgeschlossen werden. In kleineren Unternehmen könnte diese Aufgabe durch einen Mitarbeiter in Doppelfunktion erfüllt werden, der direkt der Unternehmensleitung berichten kann, etwa ein Leiter der Compli­ance- oder Personalabteilung, ein Integritätsbeauftragter, ein Rechts- oder Datenschutzbeauftragter, ein Finanz­ vorstand, ein Auditverantwortlicher oder ein Vorstandsmitglied.

(57) Bei internen Meldungen trägt eine möglichst umfassende Unterrichtung des Hinweisgebers, soweit diese recht­lich möglich ist, über die Folgemaßnahmen zu einer Meldung wesentlich dazu bei, Vertrauen in die Wirksamkeit des allgemeinen Hinweisgeberschutzes aufzubauen und die Wahrscheinlichkeit weiterer unnötiger Meldungen oder einer Offenlegung zu senken. Der Hinweisgeber sollte innerhalb eines angemessenen Zeitrahmens über die geplanten oder ergriffenen Folgemaßnahmen und die Gründe für die Wahl jener Folgemaßnahmen informiert werden. Die Folgemaßnahmen könnten beispielsweise den Verweis auf andere Kanäle oder Verfahren bei Meldungen, die ausschließlich die individuellen Rechte des Hinweisgebers betreffen, den Abschluss des Verfahrens aufgrund mangelnder Beweise oder anderer Gründe, die Einleitung interner Nachforschungen, eventuell unter Angabe der Ergebnisse und möglicher Maßnahmen zur Behebung des Problems oder die Befassung einer zuständigen Behörde zwecks weiterer Untersuchung umfassen, soweit diese Informationen die internen Nachforschungen oder die Untersuchung nicht berühren und die Rechte der von der Meldung betroffenen Person nicht beeinträchtigen. Der Hinweisgeber sollte in jedem Fall über die Fortschritte und Ergebnisse der Untersuchung informiert werden. Es sollte möglich sein, den Hinweisgeber während der Untersuchung um weitere Informationen zu bitten, ohne dass jedoch eine Verpflichtung zur Bereitstellung dieser Informationen besteht.

(58) Ein angemessener Zeitrahmen zur Unterrichtung des Hinweisgebers sollte drei Monate nicht überschreiten. Wer­ den die geeigneten Folgemaßnahmen erst noch festgelegt, so sollte der Hinweisgeber auch darüber informiert werden; zudem sollte ihm mitgeteilt werden, welche weiteren Rückmeldungen er erwarten kann.

§7 (1) Wahlrecht interner/externer Meldekanal; 2) Verbot der Behinderung)

§8 Vertraulichkeitsgebot

§11 Dokumentationspflicht

§13 Aufgaben der internen Meldestellen

§16 Meldekanäle für interne Meldestellen Abs. 1  (siehe veränderte Fassung vom 16.12.2023); Abs. 2 und Abs. 3

Information über die Einführung einer Hinweisgeber-Lösung

Jeder mit dem Unternehmen dauerhaft in Verbindung stehenden Person ist die Webadresse der cloudbasierten SaaS-Lösung mitzuteilen (Aushang, Gehaltszettel, Betriebsrat)

Geht auf dieser Plattform eine Meldung ein, erhält der zu beauftragende Case Manager (unabhänige, fachkundige Person) eine Meldung.

Funktion des Case Managers

Die Mitteilung wird vom Case Manager überprüft.

Der Case Manager nimmt Kontakt mit dem Hinweisgeber auf.

Der Case Manager wird aufgrund seines Fachwissens, im Rahmen der DSGVO und anderer gesetzlicher Bestimmungen die vom Hinweisgeber gemachten Aussagen hinterfragen, um Glaubwürdigkeit, Absicht, Personenkreis, Art und Schwere, Zeit und Ort möglichst unwiderlegbar zu sichern. Hierzu können mehrere Kontaktaufnahmen erforderlich sein, bzw. der Personenkreis sich erweitern. Der Case Manager ist aber keine Ermittlungsperson! Führt die Information in Folge der Hinterfragungen zu sich verdichtenden Hinweisen und Plausibilitäten, können persönliche Motive weitgehend ausgeschlossen werden, informiert der Case Manager eine benannte verantwortliche Stelle des Unternehmens. Der weitere Fortgang richtet sich nach der Schwere der Information bis hin zur Einschaltung von Strafverfolgungsbehörden.

Wichtig: Der Case Manager ist keine Ermittlungsperson! und hat auch keine Befugnis, um Rechtsaussagen zu treffen.

Der Case Manager wird aufgrund seines Fachwissens, im Rahmen der DSGVO und anderer gesetzlicher Bestimmungen die vom Hinweisgeber gemachten Aussagen hinterfragen, um Glaubwürdigkeit, Absicht, Personenkreis, Art und Schwere, Zeit und Ort möglichst unwiderlegbar zu sichern.

Es können mehrere Kontaktaufnahmen erforderlich sein, bzw. der Personenkreis kann sich erweitern.

Rückmeldung an den Hinweisgeber

Innerhalb von 7 Tagen muss dem Hinweisgeber der Eingang seiner Information bestätigt werden und innerhalb von 3 Monaten muss der Hinweisgeber über den Stand der Behandlung, die Maßnahmen und dem Ergebnis informiert werden.

Was passiert wenn ein Hinweisgeber eine wichtige Information hat?

Prüfung des Hinweises

Führt die Information in Folge der Hinterfragungen zu sich verdichtenden Hinweisen und Plausibilitäten, können persönliche Motive weitgehend ausgeschlossen werden, informiert der Case Manager eine benannte verantwortliche Stelle des Unternehmens.

Der weitere Fortgang richtet sich nach der Schwere der Information bis hin zur Einschaltung von Strafverfolgungsbehörden. Dieser Fortgang obliegt dem Unternehmen, wobei der Case Manager auf dem Laufenden vom Unternehmen gehalten werden muss. Die Kommunikation soll ausschließlich auf der Hinweisgeberlösung statt finden.

Admin

Der Rolle des Admins fallen die Organisationseinstellungen, der Status, das Anlegen von Benutzerkonten, Rollen festlegen, Up-/Downgrade-Pakete inkl. Sprachen, Zahlungsdetails zu.

Case Manager

Der General Case Manager prüft die Information auf Glaubwürdigkeit, Stichhaltigkeit, sammelt belastbare Informationen und steht zunächst ausschließlich im Kontakt mit dem Hinweisgeber. Er hat die Aufgabe Fakten zu sammeln und persönliche Motive oder Falschmeldungen zu identifizieren. Die Ombudsfunktion kann und muss von einer dem Unternehmen unabhängigen Person wahr genommen werden, idealerweise einer Rechtsperson mit Datenschutzhintergrund.

Der General Case Reader

Der General Case Reader hat nur Zugriff auf das Dashboard und sieht nur das Aufkommen und den Bearbeitungsstand der eingegangenen Hinweise.

Ombudsperson

Die Ombudsperson ist eine externe Person, ein Steuerberater, Rechtsanwalt, Datenschutzbeauftragter. An die Ombudsperson sind Anforderungen zu stellen: Erfahrung im Datenschutz, im Compliance-Wesen, Unternehmens-, bzw. Wirtschaftserfahrung. Integre Person, vertrauenswürde, sachorientiert, unbedingt neutral, analytisches Verständnis, idealerweise mehrere Sprachen gut verstehend.

Dritte

Dritte Personen stehen dem Hinweisgeber nahe. Sie können an Stelle des Hinweisgebers Meldung machen.

Angehörige

Angehörige des Hinweisgebers stehen unter dem Schutz der EU-Hinweisgeber-Richtlinie.

Systemadministrator

Das hängt von der Größe Ihres Unternehmens ab. Bei kleinen Unternehmen ist es häufig der Inhaber oder Geschäftsführer. Bei größeren Unternehmen der CEO, COO, CFO oder Leiter Recht / Personal. Viele unserer Kunden delegieren diese Rolle auch ganz, oder zusätzlich an ihren Anwalt, Ombudsmann oder Steuerberater. Somit ist gewährleistet, dass auch in Zeiten der Abwesenheit des unternehmensinternen Systemadministrators eingehende Fälle termingerecht bearbeitet werden.

Um dieses Risiko zu vermeiden, sollten Sie sich für einen offenen, proaktiven Umgang mit der Einführung Ihrer Meldekanäle entscheiden. Das Spektrum ist groß und reicht von einer einfachen Info-Mail an die Mitarbeiter zum Thema Meldekanäle bis zur bewussten Einbettung in ein umfassendes Compliance-System.

Risiko-Minimallösung

Da wir diese Frage immer wieder gestellt bekommen, so viel vorab: Natürlich können Sie jeden Meldekanal quasi unsichtbar auf einer Unter-Unterseite Ihres Intranets verstecken, ohne seine Existenz gezielt an Ihre Mitarbeiter zu kommunizieren. Damit können Sie zumindest im Fall einer Prüfung nachweisen, dass Sie eine solche Lösung anbieten. Sie gehen damit jedoch das Risiko ein, dass ein potenzieller Whistleblower diesen Meldekanal nicht findet und sich direkt an eine Behörde oder die Presse wendet.

Bei der Auswahl eines passenden Systems sind zahlreiche spezifische Mitarbeiter-Faktoren relevant. Funktionen, Bildungsniveau, Nationalitäten und Standorte beeinflussen den Zugang zu Meldekanälen und die Hemmschwelle, sie zu nutzen. Eine konkrete Person direkt anzusprechen, kostet in der Regel am meisten Überwindung. Am wenigsten Überwindung bedarf die Nutzung einer digitalen Lösung, die Anonymität garantiert. Selbst bei niedrigem Bildungsniveau und niedrigem Einkommen haben inzwischen alle Mitarbeiter ein Handy und beherrschen dessen Nutzung. Ist die digitale Hinweisgeber-Lösung sehr intuitiv und benutzerfreundlich gestaltet und verwendet sie eine verständliche Sprache, kann sie von jedem Mitarbeiter genutzt werden. Auch auf der entferntesten Baustelle könnte ein Link zu einer Whistleblowing-Software oder der Kontakt eines Ansprechpartners für Hinweise an einem schwarzen Brett, im Container, Bauwagen oder in Projektunterlagen frei zugänglich sein.

Haben Sie stets die Gesamtkosten im Blick. Am teuersten sind digitale Systeme, die in Ihrer IT-Landschaft implementiert werden. Hier sind nicht nur die monatlichen Gebühren und die Kosten für die Implementierung, sondern auch der Implementierungsaufwand und die Einbindung Ihrer Mitarbeiter zu berücksichtigen. Gebühren für Call-Center- oder Telefon- und E-Mail-Lösungen bei einer Ombudsperson oder dem Anwalt Ihres Vertrauens fallen monatlich pauschal an, auch wenn in diesem Zeitraum kein Fall gemeldet werden sollte. Am günstigsten sind in der Regel Cloud-basierte Whistleblowing-Software-Produkte.

Mittlerweile sind viele digitale Lösungen hinzugekommen. Selbst uns fällt mittlerweile der Überblick schwer.

Wir versuchen dennoch einen Überblick.

• Open Source - cloudbasiert
• Software - cloudbasiert - in interne Software integrierbar

• Software - nicht cloudbasiert - in interne Software integrierbar

• Rein cloudbasiert - nicht in interne Software integrierbar - siehe DENKHAUS®-Legaltegrity-Lösung

Preise

Preislich von 0 Euro über monatlich ca. 50-100 Euro, über einige Tausend Euro pro Jahr bis einmalig einige Tausend Euro

Die DENKHAUS®-Legaltegrity-Lösung liegt bei Unternehmen < 1.000 Mitarbeiter mit ca. 2.000 Euro pro Jahr mittlerweile im Mittelfeld.

Ist das angesichts des Wettbewerbs zuviel?

Was die DENKHAUS®-Legaltegrity-Lösung auszeichnet:

Compliance ist bei uns nicht ein Umsatzbringer sondern Herzblut. Wir sind thematisch, fachlich verwurzelt.

• Groupfähig

• über 32 Sprachen
• Zertifiziert sicher und nur in Deutschland gehostet (Telekom)
• Laufend aktualisiert datenschutz -und gesetzeskonform
• Technisch wie thematisch erfahrener Support
• Individualisierbares Design (Farbe) und Corporate Branding

• Hohes Maß an Unterstützung bei der betrieblichen Einführung
• Großes Netzwerk an Compliance-Experten für jede Situation und Frage, wichtig vor allem beim LkSG, AGG, GWG
• Lokaler Ansprechpartner
• Nationaler und unabhängiger Anbieter
• Intuitiv, leicht zu bedienende Software - geringer Einarbeitungsaufwand
• Formale Sicherheit bez. Dokumentation und Terminen
• Keine Speicherung von IP-Adressen - wichtig für Hinweisgeberschutz
• Jeder nicht-digitalen Lösung organisatorisch wie in rechtlichen Fragen überlegen und prozesssicher
• Keine versteckten Kosten

Die Lösung erfüllt alle Kriterien der EU-DSGVO und der Datenschutz muss in allen Phasen eingehalten werden.

Datensicherheit

Zusätzlich zu den Anforderungen der DSGVO sind bei der Auswahl von Meldekanälen weitere Aspekte der Datensicherheit bei der Auswahl eines passenden Systems für Ihr Unternehmen zu berücksichtigen. Bei allen analogen – menschlichen – Lösungen stellt sich die grundsätzliche Frage, wo die Daten aufbewahrt und wie sie durch wen verwaltet werden. Wer hat noch Zugriff auf das Telefon und die Mailbox, wer auf das E-Mail-Postfach und in welchem Land stehen die Server der E-Mail-Provider? Mögliche Schwachstellen sind hier Assistenz oder Urlaubsvertretung. Auch bei Systemadministratoren mit Zugang zu den Inhalten von E-Mail-Accounts ist die Vertraulichkeit nur noch eingeschränkt gewährleistet.

Auf den ersten Blick mag das so in einem aufkommen. Ging mir ehrlich gesagt auch so. Bis ich einen Perspektivwechsel vollzog:

Was bräuchte ich als Mitarbeiter, um das Risiko einzugehen, ein Fehlverhalten oder einen Gesetzesverstoß von Kollegen oder Vorgesetzten zu melden?

Versetzen Sie sich in Ihre Mitarbeiter – nicht pauschal sondern in einzelne, konkrete Personen. Fühlen Sie sich ein in vorsichtige, zurückhaltende, extrovertierte und selbstbewusste Personen, in Menschen mit verschiedenen Bildungsniveaus und anderem kulturellen Hintergrund, und in welche mit sehr unterschiedlichen Führungskräften. Aus den Perspektiven dieser einzelnen Personen betrachtet: Was würde Ihnen helfen, darauf zu vertrauen, dass Ihr Hinweis konstruktiv aufgegriffen und bearbeitet wird? Was bräuchten Sie, um sich eventuell irgendwann zu outen?

Mehrwerte

Eine Whistleblowing-Software ermöglicht dem Whistleblower, Meldungen anonym und vertraulich von jedem internetfähigen Gerät abzugeben. Zusätzliche, für den Hinweis relevante Informationen – wie Bilder, Dokumente, Zeichnungen etc. – können direkt mit hochgeladen werden. Das System veranlasst mit Eingang der Meldung automatisch das Informieren des Zuständigen, dass ein neuer Hinweis gemeldet worden ist. Dies ist wichtig, da die EU-Hinweisgeber-Richtlinie Anforderungen zur Bearbeitung stellt, die mit konkreten Fristen versehen sind. Innerhalb einer Woche muss der Hinweisgeber über den Eingang des Hinweises informiert werden. Innerhalb von drei Monaten, in Ausnahmen auch sechs Monaten, über das Ergebnis der Untersuchung zu seinem Hinweis. Das System überwacht die Einhaltung der Fristen und erinnert rechtzeitig daran.

Jede Meldung ist wertvoll, weil mit dieser potenziell das Unternehmen verbessert, bei Abhilfe gestärkt oder schlimmeres verhütet werden kann, so dass zunächst eine interne Klärung statt finden kann.

Wie Sie Ihre Whistleblowing-Software (oder einen anderen Meldekanal) einführen, entscheidet darüber, welche Fälle bei Ihnen landen und ob Mitarbeiter das System missbrauchen. Für Mitarbeiter ist eine verständliche, kurz gehaltene Information dazu hilfreich, welche Themen über diese Kanäle gemeldet werden sollten und welche nicht.

Sofern Sie in Ihrem Unternehmen noch keinen Verhaltenskodex haben, wäre die Einführung eines solchen eine gute Möglichkeit, grundsätzliche Verhaltensregeln zur Orientierung einzuführen. In der Praxis finden sich sehr häufig ausführliche Varianten, die versuchen, jede Ausnahme zu berücksichtigen. Zu viel Text führt jedoch dazu, dass Verhaltensregeln – einfach nicht gelesen werden – unabhängig vom Bildungsniveau. Am besten ist eine Zusammenfassung auf einer Seite mit großer Schrift und einfach verständlichen Formulierungen. Auf Folgeseiten können dann die Punkte detaillierter ausgeführt sein.

Jegliche Form von Verhaltenskodex oder Werten führt auch dazu, dass vor allem Führungskräfte von den Mitarbeitern genau beobachtet werden. Wird die Einhaltung der Regeln oder Werte im täglichen Handeln nicht vorgelebt, führt das zwar nicht direkt zu Hinweisen, aber auch nicht zu dem notwendigen Vertrauen. Vertrauen darin, dass die Führung die festgeschriebenen Regeln ernst nimmt und wirklich möchte, dass sich alle Mitarbeiter danach richten. Dann wirkt ein Verhaltenskodex wie ein hübsches Deckmäntelchen, unter dem der Freibrief erteilt wird, sich entgegen der Vorgaben zu verhalten.

Um ein Unternehmen tatsächlich compliant auszurichten, empfiehlt es sich, ein zu Unternehmensgröße, Geschäftsmodell und Branche passendes Compliance-System einzuführen. Ihr Compliance-Berater oder Anwalt des Vertrauens kann Ihnen hier zu Ihrem Unternehmen passende, bewährte Empfehlungen geben und Sie bei der Umsetzung begleiten. Die Whistleblowing-Lösung ist dann ein Bestandteil des Systems.

Beispielunternehmen: 50 Mio. Umsatz

5 % Schäden durch WK: € 2.500.000

Jedes vierte Jahr Schaden: € 625.000

50 % geringere Schäden mit einem Meldesystem: € 312.500

Vorteil eines Meldesystems: € 312.500

Vollkosten eines Meldesystems inkl. internem Aufwand: < € 10.000

Keine Frage, gravierende Gesetzesverstöße oder Hinweise mit Skandalpotenzial sind Chefsache! Nicht jedoch deren Entgegennahme oder rechtlich korrekte Nachverfolgung und Dokumentation.

Inhouse-Lösung

Zuständig für den Empfang und die Bearbeitung von Hinweisen sollten Personen im Unternehmen sein, die generell als vertrauenswürdig empfunden werden. In Konzernen und großen mittelständischen Unternehmen sind dies in der Regel spezielle Abteilungen wie die Rechtsabteilung, Compliance-Abteilung oder interne Ombudspersonen an unterschiedlichen Standorten.

Externe Ansprechpartner

In kleineren und mittelständischen Unternehmen sind Compliance-Beauftragte oder Ombudspersonen (sofern vorhanden), oder direkt ein Vertreter der Geschäftsführung interner Ansprechpartner. Je kleiner das Unternehmen, desto schwieriger die Entscheidung, wer das Thema Whistleblowing verantworten soll. Es bedarf nicht nur der Wahrnehmung, dass diese Person vertrauenswürdig ist. Auch die Hemmschwelle, diese Person anzusprechen, sollte bei den Mitarbeitern niedrig sein. Vor diesem Hintergrund kann es sehr hilfreich sein, zusätzlich zu einem internen Empfänger auch eine externe Stelle als Empfänger zu benennen. Hierzu bieten sich Ihr Rechtsanwalt oder Steuerberater des Vertrauens an oder auch eine externe Ombudsperson. Mit diesem Personenkreis haben Sie zugleich eine gute Vertretungsregel. (siehe hierzu Absatz (56) der Hinweisgeber-Richtlinie)

Die Erfahrung hat gezeigt, dass sich Whistleblower im Laufe der Zeit häufig zu erkennen geben, wenn sie nach der Mitteilung einer Meldung das Gefühl haben, dass Ihr Hinweis professionell aufgegriffen und bearbeitet wird. Es braucht nicht viel Fantasie, sich das Spektrum an Gefühlen auszudenken, die ein Hinweis beim Empfänger auslösen kann. Externe Partner haben hier per se eine professionelle Distanz und wirken dadurch beim Whistleblower vertrauensbildend. Die Erfahrung Ihres externen Partners ermöglicht beim Eingang eines Hinweises die Entscheidung zur Relevanz und zu den Anforderungen an das weitere Vorgehen. Neben der professionellen Bearbeitung ist die Wahrung aller relevanter Fristen abgedeckt.

Die Unternehmensgröße entscheidet häufig über die Anzahl Ihrer Optionen. Hat Ihr Unternehmen eine eigene IT-Abteilung, die den mehrwöchigen Implementierungsprozess einer konventionellen Online-Lösung unternehmensseitig unterstützen kann? Wenn ja, kommen für Sie alle digitalen und analogen Optionen zur Ausgestaltung einer Whistleblowing-Lösung in Frage.

Mit zunehmender Unternehmensgröße steigt rein statistisch die Zahl möglicher Hinweise. Es ist vor allem für international agierende Unternehmen mit einer Vielzahl von Hinweisen interessant, eine Whistleblowing-Software mit sehr differenzierten Auswertungsmöglichkeiten, z. B. nach Rechtsgebieten, Ländern, Standorten oder Unternehmensbereichen, zu implementieren. Für kleine und mittelständische Unternehmen mit wenigen Fällen pro Jahr sind eine Vielzahl komplexer Auswertungsmöglichkeiten unnötig.

Sie sind ein kleines oder mittelständisches Unternehmen und die Erinnerung an die letzte Software-Einführung und Verknüpfung mit ihrem bestehenden IT-System löst bei Ihnen und Ihren Mitarbeitern, wie bei vielen anderen unserer Kunden, heute noch Grauen aus? Oder haben Sie in Ihrem Unternehmen gar keine eigene IT-Abteilung, die die Begleitung eines mehrwöchigen Implementierungsprozesses übernehmen kann?

Dann kommt für Sie eine Plattform-Lösung in Frage, bei der keine Implementierung in Ihrer IT-Landschaft erforderlich ist. Wie das funktioniert? Mit „Software-as-a-Service“-Lösungen, bei denen die Daten in der Cloud liegen. Eine solche Whistleblowing-Software wird auch als Plug-and-play-Lösung bezeichnet. Jedoch lohnt es sich, hier genau hinzuschauen. Es handelt sich nur dann tatsächlich um eine Plug-and-play-Lösung, wenn Sie ohne jeglichen Implementierungsaufwand mit der Buchung einen Link erhalten. Mittels dieses Links müssen Sie direkt auf Ihrer Unternehmensseite der Whistleblowing-Plattform landen.

Sind Sie ein global agierendes Unternehmen oder auf die EU fokussiert?

Bei der Auswahl eines Whistleblowing-Systems sollten Sie berücksichtigen, in wie vielen Ländern der Welt Ihr Unternehmen geschäftlich aktiv ist. Gerade bei international agierenden Unternehmen scheint es naheliegend, einen globalen Anbieter einer Whistleblowing-Lösung zu wählen, um die zahlreichen Sprachen der Mitarbeiter zu berücksichtigen. Hierbei ist jedoch unbedingt zu beachten, dass sich die Rechtssysteme und die Anforderungen an den Datenschutz in den einzelnen Staaten sehr unterscheiden. Sie sollten daher unbedingt nachfragen, wo die Server eines Whistleblowing-Anbieters stehen. Ist dies außerhalb der EU, z. B. in den USA, sind sowohl Datenschutz als auch Whistleblower-Schutz für die Standorte Ihres Unternehmens in der EU nicht ohne weiteres sicher gewährleistet.

Bei Verstoßmeldung und sind nach dem 16.12.2021 keine geeigneten Kanäle eingerichtet, drohen empfindliche Bußgelder bis hin zu einer Strafverfolgung ähnlich der DSGVO.

Wir sind Teil eines umfassenden, großen, hochreputativen Netzwerks von Compliance-Experten, Rechtsanwälten, Experten aus Forschung, Wirtschaft, Anwendung und repräsentieren eine der führenden Hinweisgeberlösungen und Hinweisgebersysteme. Für KMU sind wir in der Lage, für jede Aufgabenstellung kompetente Antworten zu geben können, die sonst nur großen Unternehmen und Konzernen vorbehalten sind.

Es ist wichtig sich klar zu machen, dass die Implementierung einer Hinweisgeberlösung der erste Schritt hin zu einem umfassenden Compliance-System ist. Wir stehen für diesen Prozess beratend und mit Lösungen an Ihrer Seite.

Für KMU kann ein ernster, schwerwiegender Hinweis das Aus bedeuten. Konzerne gehen oft gestärkt aus einem Skandal hervor.

Compliance ist als erstes die Einhaltung von Gesetzen, als zweites die Einhaltung von allgemein anerkannten Regeln und Normen, als drittes die Einhaltung von unternehmensinternen Regeln.

Wie Regeln eingehalten werden können wird mit unserem weiterentwickelten WissensManagement-System und in unseren eigenentwickelten WissensDatenbanken täglich vor Augen geführt.

Die juristische Komponente von Compliance wird durch das Team von LegalTegrity mit seiner jahrzehnte Erfahrung für uns wahr genommen. Des weiteren ist Jürgen Göhl zertifizierter Datenschutzbeauftragter und zertifzierter IT-Forensiker, also mit Einhaltung von Gesetzen und Verhalten befasst und zur Diskretion verpflichtet. Aus diesem Hintergrund kann er auch eine Ombudsfunktion einnehmen.

Unsere Lösung überzeugt. Keine Reklamation, keine Vertragsauflösungen.

Wöchentlich kommen mehrere bekannte Markennamem zu unserem Kundenkreis dazu.

Unsere faire Beratung und Umgang bleibt im Gedächtnis. Auch bei noch nicht getätigten Geschäften melden sich Kunden wieder bei uns.