Interne Meldestellen als „Safe Space“

Das neue Hinweisgeberschutzgesetz regelt den Schutz von Personen, die Rechtsbrüche und Verfehlungen im beruflichen Umfeld beobachten. Sie sollen sich künftig an eine eigens hierfür einzurichtende Meldestelle wenden können, ohne negative Konsequenzen oder Benachteiligungen befürchten zu müssen. Der im Vermittlungsausschuss erzielte Kompromiss setzt dabei vor allem in Fällen, die intern wirksam geregelt werden können, auf einen Vorrang interner Stellen als Anlaufpunkt: Unternehmen sollen durch nicht näher definierte Anreize darauf hinwirken, dass diese von Whistleblowern bevorzugt genutzt werden.

Vincent Stöber von Whistleblower Software hält dies für eine vernünftige Regelung, die überdies im Interesse der betroffenen Unternehmen sei: „Sie erfahren so frühzeitig von Missständen und erhalten die Chance, Probleme intern zu lösen, bevor sie zum Gegenstand einer öffentlichen Diskussion werden.“ Dafür brauche es aber auch einen Safe Space, in dem sich Hinweisgeber angstfrei mitteilen können – und eine gut formulierte Whistleblowing-Politik: „Je besser Mitarbeitende Bescheid darüber wissen, wie und wo sie ihre Beobachtungen mitteilen können, desto höher die Wahrscheinlichkeit, dass der Kanal auch nur für relevante Vorfälle genutzt wird.“

Begrenzte Zeit zum Handeln

Handlungsbedarf haben auch Behörden als externe Meldestellen. Vorrangig nimmt der Gesetzgeber aber Unternehmen und andere sogenannte Beschäftigungsgeber in die Pflicht, zu denen beispielsweise auch Vereine oder Genossenschaften gehören. Nur wer weniger als 50 Mitarbeiter beschäftigt, ist von dieser Verpflichtung ausgenommen. Für alle anderen heißt es schnell handeln. Denn nur kleinere Unternehmen mit 50 bis 249 Mitarbeitern bekommen noch bis Ende des Jahres, genauer: bis zum 17. Dezember, Zeit für die Umsetzung. Alle anderen sind bereits deutlich früher in der Pflicht, ein entsprechendes System anzubieten.

Das Gesetz sieht vor, dass „Meldungen in mündlicher oder in Textform“ möglich sind, Hinweisgeber innerhalb von sieben Tagen eine Eingangsbestätigung erhalten und nach erfolgter Prüfung angemessene Folgemaßnahmen ergriffen werden müssen. Aufgrund der gebotenen Vertraulichkeit sind einfache Lösungen wie die Einrichtung einer internen Hotline und eines E-Mail-Postfachs für Whistleblower nicht zu empfehlen: „Nicht befugte Personen dürfen keine Möglichkeit haben, in das System einzugreifen und beispielsweise Kenntnis von der Identität eines Hinweisgebers zu erhalten“, erklärt Vincent Stöber.

Ombudsleute: Begrenzte Ressourcen

Rechtskonforme Angebote wären hingegen die Angabe einer externen Telefonnummer, die mit einer Ombudsperson besetzt ist, oder eine digitale, IT-gestützte Lösung: Der Tech-Lösungsanbieter Whistleblower Software ist das bestbewertete Hinweisgeber-System auf der Bewertungsplattform G2 und dient derzeit mehr als drei Millionen Angestellten in 80 Ländern, darunter Dänemark, wo das Hinweisgeberschutzgesetz als Erstes umgesetzt wurde. „Welchem Ansatz der Vorzug gegeben wird, ist am Ende auch eine Kostenfrage“, weiß Stöber. Eine möglichst mehrsprachige Vertrauensperson einzusetzen, die rund um die Uhr erreichbar ist, wäre zwar gesetzeskonform, aber teuer – und zudem nur für kleinere Organisationen mit wenigen Mitarbeitenden realisierbar. „Auch wenn sich die Meldequote nach unserer EU-weiten Erfahrung in relativ engen Grenzen hält – wir gehen von einer Meldung auf 250 Mitarbeiter pro Jahr aus – sollten die Beschäftigungsgeber ihren wirtschaftlichen Aufwand im Blick behalten“, rät Stöber. Die Bundesregierung rechnet immerhin mit einem jährlichen Erfüllungsaufwand in Höhe von rund 200,9 Mio. Euro allein für die Wirtschaft.

Viele Experten raten auch vor diesem Hintergrund zur Einrichtung einer spezialisierten Cloud- oder Software-Lösung. Wer hier noch auf der Suche ist, sollte vor allem an Zertifizierungen und Sicherheit hohe Ansprüche stellen, empfiehlt Vincent Stöber von Whistleblower Software. „Nicht alle Anwendungen bieten eine zuverlässige Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass schlimmstenfalls unbefugte Dritte Einblick in Fallinformationen bekommen könnten.“ Spezialisierte und vertrauenswürdige Anbieter wie Whistleblower Software erkennt man darüber hinaus auch an ihrer Konformität mit der Schrems II GDPR-Verordnung, der ISO 27001-Zertifizierung und ISAE 3000-Audit.

Mitbestimmung beachten!

Einen wichtigen Tipp hat Stöber noch für alle HR-Verantwortlichen, die sich bisher noch auf keine Umsetzungsvariante festgelegt haben: „Je nach Betrieb kann die Auswahl der Lösung der betrieblichen Mitbestimmung unterliegen.“ Wer also kein Bußgeld riskieren und den Hinweisgeberschutz fristgerecht und rechtssicher umsetzen will, hat spätestens seit heute keine Zeit mehr zu verlieren.