Die EU-Whistleblower-Richtlinie verpflichtet Unternehmen in Europa, eine interne Meldestelle einzurichten, sobald sie mehr als 50 Mitarbeitende beschäftigen. Doch viele Unternehmen denken immer noch, dass sie diese Vorschrift einfach erfüllen können, indem sie beispielsweise ein physisches Postfach oder eine Beschwerde-E-Mail-Adresse einrichten. Dies ist jedoch keine gute Lösung.
Ein physisches Postfach bietet bei anonymer Berichterstattung keine Möglichkeit, weiter mit den hinweisgebenden Personen zu kommunizieren und macht deshalb die Einhaltung von gesetzlichen Rückmeldefristen unmöglich. Eine reine Beschwerde-E-Mail-Adresse hingegen bietet ebenfalls wenig Schutz und kann sogar gegen die DSGVO verstoßen.
Digitale Hinweisgebersysteme gewährleisten die Einhaltung der DSGVO, ermöglichen eine anonyme und sichere Meldung von Verstößen, gewährleisten, dass Fristen eingehalten werden und ermöglichen eine automatische Dokumentation von Meldungen und deren Bearbeitung. Darüber hinaus ermöglichen sie eine anonymisierte Auswertung und Berichterstattung von Meldungen.
Aus diesen Gründen sind für Compliance Officer, Legal Counsels und anderen Verantwortlichen in europäischen Unternehmen digitale Hinweisgebersysteme inzwischen unverzichtbar geworden. Die Gründe dafür sind zahlreich, doch im Folgenden werden wir uns auf die sechs wichtigsten konzentrieren.
6 Gründe warum ein digitales Hinweisgebersystem notwendig ist
#1 DSGVO
Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, personenbezogene Daten zu schützen. Ein Hinweisgebersystem, das den Vorgaben der DSGVO entspricht, erfordert in der Regel, dass die hinweisgebende Person den Datenschutzbestimmungen zustimmt, bevor Informationen geteilt werden. Bei alternativen Wegen, wie beispielsweise einem Postfach oder einer E-Mail-Adresse, kann nicht gewährleistet werden, dass der Whistleblower den Datenschutzbestimmungen zugestimmt hat.
Während der gesamten Bearbeitungs- und Aufbewahrungszeit darf nur die Meldestelle, also ein sehr kleiner Personenkreis, Zugriff auf die Dokumentation haben. Die geforderte Vertraulichkeit während Bearbeitung, Dokumentation und Aufbewahrung von Meldungen kann mit E-Mail-Lösungen (oder einem Briefkasten) nicht sichergestellt werden. Durch die interne IT, lokale Server oder die Cloud-Server der Organisation haben zu viele Personen Zugriff auf die vertraulichen Informationen. Hier besteht das Risiko eines Bußgeldes nach DSGVO, weil personenbezogene Daten nicht nach HinSchG gespeichert werden. Die DSGVO-Bußgelder sind ein Vielfaches höher als die Bußgelder nach dem HinSchG, meist 5% vom Umsatz der Unternehmensgruppe.
Digitale Hinweisgebersysteme stellen sicher, dass nur die notwendigen Daten erhoben werden und dass personenbezogene Daten innerhalb der gesetzlichen Fristen gelöscht werden. Die Anonymisierung von Daten und die Speicherung von Daten auf sicheren Servern gewährleisten, dass personenbezogene Daten geschützt bleiben und DSGVO-Verstöße vermieden werden.
#2 Anonymität und Sicherheit
Ein digitales Hinweisgebersystem ermöglicht eine anonyme und sichere Meldung von Verstößen. Mitarbeiter können Bedenken oder Beobachtungen anonym und ohne Angst vor Vergeltungsmaßnahmen melden.
Wenn ein Unternehmen intern keine anonymen Meldungen erhalten möchte, können hinweisgebende Personen den externen Weg gehen. Sollte sich eine hinweisgebende Person aufgrund des Risikos gegen eine Meldung über den internen Meldekanal ihres Unternehmens entscheiden, steht ihr offen, alternativ ihre Meldung bei der externen Meldestelle des Bundes abzugeben. Die meldende Person kann der externen Meldestelle vorgeben, ihre Identität nicht dem Unternehmen preiszugeben. Somit erhält das Unternehmen auf diesem Umweg eine anonyme Meldung, und hat zusätzlich die Behörde und im schlimmsten Fall die Staatsanwaltschaft im Unternehmen.
Außerdem gibt es bereits jetzt die Pflicht im Hinweisgeberschutzgesetz, anonyme Meldungen zu bearbeiten, d.h., wenn Sie einen anonymen Hinweis per Brief oder anderen Kanal erhalten, müssen Sie als Meldestellenbeauftragter diesen nachverfolgen. Die Nachverfolgung ist natürlich deutlich erschwert, wenn man keinen Kontakt zu der Person aufnehmen kann.
Bei der Auswahl eines Hinweisgebersystems ist es wichtig, darauf zu achten, dass personenbezogene Daten Ende-zu-Ende verschlüsselt sind und dass das System auf ISO 27001 zertifizierten Servern gehostet wird, um maximale Sicherheit zu gewährleisten. Ein digitales Hinweisgebersystem kann somit dazu beitragen, das Vertrauen der Mitarbeiter in das Unternehmen zu stärken, da sie sich sicher fühlen können, Bedenken und Missstände zu melden, ohne dass sie befürchten müssen, dass ihre Identität preisgegeben wird oder dass es zu Vergeltungsmaßnahmen kommt.
#3 Gesetzliche Rückmeldefristen
Ein digitales Hinweisgebersystem kann Meldungen automatisch und in Echtzeit an die verantwortlichen Stellen weiterleiten und gewährleistet, dass Fristen eingehalten werden und Meldungen sofort bearbeitet werden können.
In Deutschland gibt es gesetzliche Fristen, die bei der Bearbeitung von Hinweisen eingehalten werden müssen. So muss beispielsweise innerhalb von 7 Tagen nach Eingang des Hinweises eine Empfangsbestätigung verschickt werden. Nach spätestens 3 Monaten muss über die getroffenen Folgemaßnahmen berichtet werden, und nach spätestens 3 Jahren sollten alle Daten gelöscht werden. Ein digitales Hinweisgebersystem stellt sicher, dass diese Fristen eingehalten werden und die Berichte innerhalb der vorgegebenen Fristen erstellt und weitergeleitet werden.
Die Verwendung traditioneller Hinweisgebersysteme wie Postfächern oder E-Mail-Adressen kann dazu führen, dass eingehende Hinweise nicht unmittelbar der richtigen Ansprechperson zugewiesen werden können. Zudem kann aufgrund mangelnder Übersicht über die gesetzlichen Fristen die Einhaltung der vorgeschriebenen Meldefristen durch die für die Bearbeitung zuständigen Personen beeinträchtigt werden. Dies kann sich negativ auf die Effektivität der Meldungsbearbeitung auswirken und letztendlich das Risiko für Verstöße erhöhen.
Guidelines wie Sie operativ mit Hinweisen umgehen finden Sie hier.
#4 Dokumentation
Ein digitales Hinweisgebersystem ermöglicht eine automatische Dokumentation von Meldungen und deren Bearbeitung. Dies gewährleistet, dass alle Meldungen und Aktionen dokumentiert werden und die Compliance-Abteilung schnell auf frühere Meldungen und Vorfälle zugreifen kann.
Im Gegensatz zu digitalen Systemen erfordern traditionelle Hinweisgebersysteme wie physische Postfächer oder E-Mail-Adressen eine manuelle Dokumentation, was zu einem höheren Risiko von Fehlern und unvollständigen Berichten führen kann.
Die Dokumentation in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebot ist übrigens explizit im Hinweisgeberschutzgesetz vorgeschrieben.
#5 Auswertung und Reporting
Ein digitales Whistleblower-System bietet auch eine automatische Auswertung und Berichterstattung von Meldungen. Die Compliance-Abteilung kann auf einfache Weise Berichte erstellen, die wichtige Informationen über Meldungen, Trends und Muster enthalten. Dies hilft den Verantwortlichen im Unternehmen, früh Probleme im Unternehmen zu identifizieren und Maßnahmen zu ergreifen, um diese Probleme zu lösen.
Bei traditionellen Hinweisgebersystemen ist es oft schwierig, alle Meldungen systematisch zu erfassen und auszuwerten. Die manuelle Erfassung und Auswertung von Meldungen kann zeitaufwendig sein und Fehler aufgrund von menschlichem Versagen begünstigen. Darüber hinaus können traditionelle Systeme Schwierigkeiten bei der Generierung von Berichten und der Identifizierung von Trends und Mustern aufweisen, da eine manuelle Auswertung oft ungenau und unvollständig ist.
#6 Zuweisung von Teamrechten
In einem modernen Hinweisgebersystem besteht die Möglichkeit, basierend auf den betroffenen Gesellschaften, Unternehmensabteilungen und Hinweiskategorien, festzulegen, welche Meldestellenbeauftragten Zugriff auf die Hinweise erhalten und diese bearbeiten dürfen. Diese Funktion ist bei anderen Meldewegen nicht möglich, jedoch von entscheidender Bedeutung: Im Hinweisgeberschutzgesetz ist deutlich festgelegt, dass in Konzernen, Personen innerhalb der jeweiligen Gesellschaft die relevanten Hinweise behandeln müssen. Die Fähigkeit, den Zugriff und die Bearbeitung von Hinweisen gezielt zuzuweisen, gewährleistet somit eine strikte Einhaltung der gesetzlichen Vorgaben.
Fazit
Zusammenfassend ist die Einhaltung der EU-Whistleblower-Richtlinie in Europa von großer Bedeutung, da Unternehmen verpflichtet sind, eine interne Meldestelle einzurichten, sobald sie mehr als 50 Mitarbeiter beschäftigen. Physische Postfächer oder E-Mail-Adressen sind jedoch keine gute Lösung, da sie keine sichere und anonyme Übermittlung von Informationen ermöglichen und die Einhaltung gesetzlicher Rückmeldefristen erschweren. Digitale Hinweisgebersysteme sind daher unverzichtbar geworden, da sie den Datenschutzanforderungen der DSGVO entsprechen, Anonymität und Sicherheit bieten, Fristen automatisch einhalten und die effektive Bearbeitung von Meldungen ermöglichen.
Die Implementierung eines solchen Systems stärkt das Vertrauen der Mitarbeiter in das Unternehmen, fördert eine offene Kommunikationskultur und reduziert das Risiko von Verstößen gegen Gesetze und Vorschriften.
Melden Sie sich gerne für einen kostenfreien Beratungstermin oder schreiben Sie uns auf contact@whistly.org.
Für mehr Informationen schauen Sie in unseren Blog.
![Hinweisgeberschutzgesetz: Details und konforme Umsetzung [2024]](https://superblog.supercdn.cloud/site_cuid_cldu3rjaz02061kpf0exty8ul/images/auditlog-1692106459172-compressed.png)
