Seit dem 17. Dezember 2023 und somit seit gestern ist die Einrichtung einer internen Meldestelle für Unternehmen mit mehr als 50 Beschäftigten Pflicht. Bereits seit dem 2. Juli 2023 gilt diese Verpflichtung für Unternehmen mit über 250 Beschäftigten und es handelt sich dabei um eine Maßnahme gemäß dem Hinweisgeberschutzgesetz (HinSchG).
Vertraulicher Kommunikationskanal
Ganz allgemein formuliert ist ein Hinweisgebersystem, ein System, das in Unternehmen, Vereinen sowie Verwaltungen und sonstigen Organisationen eingesetzt wird, um dessen Mitarbeiter:innen sowie Dritten des Umfeldes einen vertraulichen Kommunikationskanal zu eröffnen. Der Kanal kann von diesen zur Meldung möglicher Straftaten und Ethikverstöße genutzt werden. Die sogenannte EU-Whistleblower-Richtlinie ist hier ein wichtiger Impuls, mit dem die EU einen großen Schritt in Richtung Hinweisgeberschutz gemacht hat. Das Gesetz erwähnt neben Hinweisgeberschutz auch immer wieder Hinweisgebersysteme oder Whistleblowing-Systeme.
Welches Hinweisgebersystem
Es gibt eine Vielzahl an Hinweisgebersystemen. Die EU-Hinweisgeber-Richtlinie gibt keine konkreten Anweisungen zur technischen Umsetzung der Richtlinie, sprich was für eine Art von System in Unternehmen einzusetzen ist. Auf dem Markt werden daher unterschiedliche Systeme angeboten. Alle Systemarten haben verschiedene Vor- und Nachteile, die ein Unternehmen unter Berücksichtigung seiner Prozesse und Prioritäten bei der Auswahl abwägen muss.
Briefkasten
Das Aufstellen eines Briefkastens für alle Mitarbeiter:innen eines Unternehmens scheint schnell erledigt und manche kennen diesen womöglich noch als Kummerkasten. Diese vermeintlich praktische Lösung ist allerdings gemäß Hinweisgeberschutzgesetz nicht zulässig. Datenschutz und Vertraulichkeit sind hier nicht gewährleistet und die Bearbeitung der Meldung ist ausschließlich analog möglich. Somit ist bei dieser Lösung kein direkter Dialog zwischen anonymen Hinweisgeber und Bearbeiter der Meldung möglich.
E‑Mail Postfach
Ebenfalls wenig Implementierungsaufwand besteht in der Einrichtung einer E‑Mail-Adresse, die exklusiv zur Meldung von Vorfällen genutzt werden soll. Problematisch ist hier aber, dass die sensiblen Daten nicht den notwendigen Schutz erfahren. Zudem können E‑Mail-Anbietern die Daten im Ausland bearbeitet, was ein höheres Risiko bedeutet. Zusätzlich sind die Daten nach Abschluss des Meldungsverfahrens drei Jahre lang DSGVO-konform aufzubewahren. Bei einem Meldesystem über ein E‑Mail-Postfach kann der Eingriff interner IT-Administratoren nicht verhindert werden und so drohen einer Organisation bei Verstößen gegen die Vertraulichkeit Bußgelder von bis zu 50.000 €.
Telefon
Bei der Einrichtung einer telefonischen Whistleblowing-Hotline gilt es einiges zu beachten. Umso kritischer der Inhalt einer Meldung ist, desto höher die Hemmschwelle, zum Hörer zu greifen und einer realen Person die Beobachtungen zu schildern. Zusätzlich kann eine Sprachbarriere zwischen Hinweisgeber und ‑bearbeiter zu einer unvollständigen oder sogar fehlerhaften Weitergabe der Vorkommnisse führen. Außerdem kann auch hier ein Eingriff der IT-Administratoren nicht ausgeschlossen werden, was mit einer eingeschränkten Vertraulichkeit der Meldungen einhergeht. Eine Mailbox ist ebenfalls keine gesetzeskonforme Lösung, da hierbei nicht wie gefordert der Eingang der Meldung bestätigt werden kann.
Ombudsperson
Hierbei wird meist in der betreffenden Organisation oder über einen externen Rechtsanwalt eine Person benannt, welche als Ombudsmann agiert und Meldungen entgegennimmt und bearbeitet. Diese Lösung ist zwar gesetzeskonform, jedoch bringt sie einige Nachteile mit sich. Das Angebot zur Einreichung von Meldungen ist an die Verfügbarkeit einer Person gebunden. Zusätzlich kann durch den persönlichen Kontakt auch hier eine hohe Hemmschwelle bestehen und eine gute Verfügbarkeit des Ombudsmanns ist eventuell sehr kostspielig.
Interne Meldestellen
Eine interne Meldestelle kann mit einer bei der jeweiligen Organisationseinheit beschäftigten Person, einer aus mehreren beschäftigten Personen bestehende Arbeitseinheit oder einem Dritten besetzt werden. Es gibt dabei keine Vorgaben dazu, welche Personen oder Arbeitseinheiten am besten geeignet sind, um diese Aufgabe aufzuführen. Dies hängt von der jeweiligen Organisationsstruktur, der Größe und der Art der ausgeübten Tätigkeiten ab.
Es müssen jedoch folgende Voraussetzungen bei der internen Meldestelle vorliegen:
- Unabhängigkeit
- Ausschluss möglicher Interessenkonflikte mit anderen Aufgaben
- Notwendige Fachkunde (z.B. durch regelmäßige Schulungen der mit den Aufgaben einer internen Meldestelle beauftragten Personen)
- Beschränkung des Zugriffs auf Meldungen
- Vertraulichkeit sicherstellen bei persönlichen Zusammenkünften
Wichtig ist sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen und diese Personen unabhängig handeln können (§ 15 Absatz 1 HinSchG).
Geschäftsführer oder Personalverantwortliche können aufgrund bestehender Interessenskonflikte grundsätzlich nicht Meldestellenbeauftragte sein.
Geeignet sind zum Beispiel Leiterinnen oder Leiter der Complianceabteilung, Integritätsbeauftragte, Rechts- oder Datenschutzbeauftragte oder Auditverantwortliche.
Notwendige Fachkunde
Darüber hinaus müssen die Meldestellen-Beauftragten nach § 15 Absatz 2 HinSchG die notwendige Fachkunde besitzen, damit diese die mit dem Betrieb der internen Meldestelle verbundenen Aufgaben erfüllen können. In der Regel ist es erforderlich, die betreffenden Personen im Hinblick auf die mit der Übernahme der Funktion verbundene Verantwortung (regelmäßig) zu schulen.
Digitale Hinweisgebersysteme
Es steht Organisationen ausdrücklich frei, einen Dritten mit den Aufgaben der internen Meldestelle zu betrauen. Die Umsetzung dieser gesetzlichen Anforderung kann mühelos und unkompliziert mit meiner DSGVO-konformen Software as a Service (SaaS) erfolgen. Mit nur wenigen Mausklicks richten Sie im Handumdrehen mein effizientes Meldesystem ein und erfüllen spielend die gesetzlichen Vorgaben. Mein Meldeportal ist die ideale Lösung. Ich biete eine großzügige 14-tägige Testphase für neue Benutzer. So haben Sie die Möglichkeit, alles in Ruhe und ohne Risiko auszuprobieren.
Also lassen Sie sich gut beraten.