Win-Win-Whistleblowing: Whistleblower*innen und Unternehmen profitieren von digitalen Lösungen

Am 17. Dezember 2021 ist die Frist zur Umsetzung der EU-Whistleblowing-Richtlinie (RL 2019/1937) in Form eines nationalen Gesetzes abgelaufen. In Österreich wird ein entsprechender Gesetzesentwurf mit Spannung erwartet – aber erstmal werden Unternehmen und Gemeinden weitreichend zur Einführung von Whistleblowing-Kanälen und einer sachgerechten Bearbeitung von eingehenden Meldungen verpflichtet. In diesem Beitrag beschreibt Reyhaneh Darakhchan, Senior Manager bei EY Forensic & Integrity Services, worauf Unternehmen bei der Auswahl eines online Whistleblowing-Systems achten sollten.
Welche Vorgaben müssen Unternehmen beachten?

Die Richtlinie legt Mindeststandards fest, die allerdings vom nationalen Gesetzgeber im Rahmen des sogenannten „Gold Platings“  verschärft werden können. Folgende Vorgaben sind dabei jedenfalls einzuhalten:

  • Privatwirtschaftliche Unternehmen mit mindestens 50 Beschäftigten müssen sichere und vertrauliche Meldekanäle einrichten, bei welchen Arbeitnehmer*innen Meldungen über Verstöße gegen das EU-Recht einreichen können. Unternehmen mit 50-249 Beschäftigten kann laut Richtlinie eine Nachfrist zur Umsetzung bis 17. Dezember 2023 gewährt werden.
  • Die Unternehmen müssen eine unparteiische Person oder Abteilung benennen, die für die Entgegennahme der Meldung und Festlegung von Folgemaßnahmen zuständig ist. Unter Folgemaßnahmen ist die Prüfung der Stichhaltigkeit des gemeldeten Sachverhalts und ggf. das weitere Vorgehen gegen den gemeldeten Verstoß, beispielsweise durch eine interne Untersuchung, zu verstehen.
  • Binnen 7 Tagen nach Eingang der Meldung muss Whistleblower*innen der Erhalt bestätigt werden.
  • Binnen 3 Monaten nach Versand dieser Eingangsbestätigung müssen Whistleblower*innen über die ergriffenen Folgemaßnahmen informiert werden.
  • Jede Meldung muss im Einklang mit den Vertraulichkeitspflichten zum Schutz von Whistleblower*innen und Dritten dokumentiert werden.
  • Whistleblower*innen dürfen aufgrund ihrer Meldung keine negativen Konsequenzen erleiden.
In welcher Form muss der Meldekanaleingerichtet werden?

Reyhaneh Darakhchan, EY

Gemäß Art. 9 Abs. 1 lit.a der Richtlinie müssen Meldekanäle „so sicher konzipiert, eingerichtet und betrieben werden, dass die Vertraulichkeit der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden, gewahrt bleibt und nicht befugten Mitarbeitern der Zugriff darauf verwehrt wird“. Zentral ist daher auch hier der Schutz von Whistleblower*innen. Darüber hinaus gibt die Richtlinie nicht vor, welche Art von Meldekanal ein Unternehmen einrichten muss – es gilt weitestgehend Formfreiheit. Dies wird auch bei einem Blick in den Erwägungsgrund 53 der Richtlinie deutlich, wo als mögliche Kanäle „Postweg“, „Beschwerde-Briefkasten“, „Online-Plattform“, „Telefonhotline“ oder ein „anderes System für gesprochene Nachrichten“ aufgezählt werden. Unternehmen stehen somit vor einer grundlegenden Entscheidung: Welche Form bietet die größten Vorteile?

In der Praxis haben sich Online-Plattformen, d.h. webbasierte Whistleblowing-Systeme, bewährt: Sie erfüllen nicht nur die Vorgaben der Richtlinie, wie etwa die Wahrung der Vertraulichkeit, sondern können außerdem durch entsprechende Features und Workflows die Bearbeitung von Meldungen wesentlich erleichtern. Auch Whistleblower*innen, die sich häufig in einer schwierigen Situation befinden, bevorzugen oft eine niedrigschwellige, anonyme Online-Meldung.

Welche Features und Workflows sollten webbasierte Systeme bieten?
  1. Datensicherheit und Datenschutz

Der Schutz von Whistleblower*innen ist ein zentrales Element der Richtlinie, weshalb System-Anbieter entsprechende technische Maßnahmen ergreifen müssen. Das grundlegende Softwaredesign sollte auf Datenschutz und Anonymität aufbauen. Dazu zählen beispielsweise eine verschlüsselte Verbindung, die regelmäßige Durchführung von Penetrations-Tests und ein angemessenes Backup-Konzept. Unabdingbar ist zudem ein Speicherort der Daten in der EU.

  1. Berechtigungskonzept

Dieser Punkt ergibt sich aus dem bereits erwähnten Artikel Art. 9 Abs. 1 lit. a, welcher den zulässigen Zugriff auf die Meldung auf den Kreis der Bearbeiter*innen einschränkt. Systeme müssen daher mehrere Berechtigungslevels anbieten, sodass Bearbeiter*innen beispielsweise entweder Zugriff auf alle Meldungen, auf Meldungen zu bestimmten Themenbereichen oder nur auf einzelne Meldungen erhalten. Die Zuweisung kann manuell oder automatisiert anhand der Antwortender Whistleblower*innen im Fragebogen erfolgen. Zudem ist es hilfreich, wenn internen und externen Personen, beispielsweise Anwält*innen und Berater*innen, lediglich Leserechte für einzelne Meldungen erteilt werden können.

  1. Anpassbarer Fragebogen

Um die für die Fallbearbeitung relevanten Informationen zu erhalten, sollten Whistleblower*innen durch einen individuell anpassbaren Fragebogen durch die Meldung geführt werden. Ansonsten laufen Unternehmen Gefahr, nicht jene Informationen zu erhalten, die sie für eine Erstbeurteilung und die Festlegung der Folgemaßnahmen benötigen.

  1. Reminder-Funktion

Eine Reminder-Funktion hilft dabei, die von der Richtlinie geforderten Fristen im Blick zu behalten: einerseits die 7-Tages-Frist, innerhalb welcher die Eingangsbestätigung an den/die Whistleblower*in zu senden ist, und andererseits die 3-Monats-Frist, innerhalb welcher der/die Whistleblower*in über die ergriffenen Folgemaßnahmen verständigt werden muss. Reminder sollten per E-Mail verschickt werden und nicht nur nach dem Login im System aufscheinen. Manche Systeme verknüpfen Reminder mit der Möglichkeit, Textbausteine vorzuformulieren, die rechtzeitig an Whistleblower*innen gesendet werden. Diese Funktion ähnelt einer Sendeverzögerung per E-Mail.

  1. Kommunikationsmöglichkeit mit Whistleblower*innen

Die Möglichkeit, mit dem/der Whistleblower*in über eine Chatfunktion in einen anonymen Dialog treten zu können, erleichtert die Bearbeitung einer Meldung enorm. Auf diesem Weg können weitere, für eine Beurteilung hilfreiche Informationen, zum gemeldeten Sachverhalt eingeholt werden. Ermöglicht wird dies über Login-Daten oder Token-Codes, die Whistleblower*innen nach Abgabe einer Meldung erhalten. Nicht zu unterschätzen ist auch das Vertrauen, welches auf diesem Weg aufgebaut werden kann: Je mehr Vertrauen Whistleblower*innen haben, desto bereitwilliger werden Informationen geteilt und desto eher wird kooperiert.

  1. Erfassung des Fallstatus

Um einen Überblick über alle erhaltenen Meldungen zu erhalten, sollte Meldungen ein Fallstatus zugewiesen werden können. In der Regel wird zwischen erhaltenen Meldungen, Meldungen in Bearbeitung und geschlossene Fällen unterschieden.

  1. Upload von eigenen Dateien

Um die Bearbeitung der Meldung im System vollständig abbilden zu können, sollten Unternehmen unterstützende Dokumente, wie beispielsweise einen Abschlussbericht, hochladen können.

  1. Anonymisierung von personenbezogenen Daten

Whistleblowing-Systeme müssen aufgrund der Vorgaben der DSGVO eine Möglichkeit bieten, personenbezogene Daten nach Abschluss der Fallbearbeitung zu anonymisieren. In der Regel geschieht das durch Schwärzung der entsprechenden Textteile. Hier ist darauf zu achten, dass die Daten durch eine Schwärzung auch aus dem Backend, den Protokolleinträgen sowie bereits erstellten Backups vollständig und unwiederbringlich entfernt werden. Eine Herausforderung stellen in diesem Zusammenhang von Whistleblower*innen übermittelte Dateien, die personenbezogene Daten enthalten, dar. Diese können häufig nicht über eine systemische Anonymisierungsfunktion geschwärzt werden, sodass ein manueller Schritt außerhalb des Systems notwendig ist. Anschließend muss die Originaldatei gelöscht werden. Da die Löschung der von Whistleblower*innen übermittelten Informationen einen kritischen Schritt darstellt, sollte dieser im 4-Augen-Prinzip durchgeführt werden.

  1. Workflow – 4-Augen-Prinzip

Für gewisse kritische Schritte ist es empfehlenswert, ein 4-Augen-Prinzip vorzusehen, welches bestenfalls auch systemisch durch einen Workflow sichergestellt wird, z.B. wenn von Whistleblower*innen übermittelte Dateien gelöscht oder personenbezogene Daten unwiederbringlich anonymisiert werden.

  1. Audit Trail

Ein Audit Trail erfasst im Detail, welche Schritte Bearbeiter*innen zu welchem Zeitpunkt im System setzen. Dadurch erhalten Unternehmen eine revisionssichere Dokumentation, die insbesondere bei behördlichen Anfragen oder Gerichtsverfahren zentral ist. Es kann nachgewiesen werden, zu welchem Zeitpunkt das Unternehmen Informationen erhalten und welche Schritte es gesetzt hat, um den Fall sachgerecht zu bearbeiten.

  1. Hinzufügen von Meldungen aus anderen Meldekanälen

Nicht jede Meldung geht über eine Online-Plattform ein. Beispielsweise wenden sich Whistleblower*innen auch immer wieder persönlich an eine*n Compliance Officer*in oder an die interne Revision. Um auch diese Meldungen im System abbilden zu können, sollte eine manuelle Eingabe durch Bearbeiter*innen möglich sein.

  1. Exportfunktion – Statistiken

Ein Export aller Meldungsdaten als.xls-Datei ermöglicht eine systematische Auswertung der Daten. Dadurch können wertvolle Informationen gewonnen werden, beispielsweise zu welchen Bereichen häufig Meldungen abgegeben werden, die durchschnittliche Bearbeitungsdauer eines Falles oder in wie viel Prozent der Fälle sich der gemeldete Sachverhalt bewahrheitet hat. Manche Systeme bereiten diese Daten bereits entsprechend auf.

Whistleblowing als Win-Win-Situation

EY hat ein webbasiertes und richtlinienkonformes Whistleblowing-System entwickelt, das eine einfache Abgabe von Meldungen und deren effiziente Bearbeitung ermöglicht. Dabei ist umfassende Erfahrung mit Whistleblowing-Meldungen eingeflossen, um eine Lösung mit hoher Usability für beide Seiten anbieten zu können. Damit Whistleblowing funktioniert, müssen selbstverständlich viele Faktoren zusammenspielen – die Auswahl eines passenden Meldekanals ist jedoch ein zentraler Schritt auf dem Weg zu einer Win-Win-Situation.

Future-Law PRO Mitgliedschaft Logo

Mitgliedschaft PRO

Ihre Vorteile im Überblick:

  • Vernetzung mit Expert*innen der Legal Tech Branche
  • Immer Up-to-Date mit wöchentlichen Newslettern und dem "Legal Tech Times" Magazin alle 4 Monate
  • Kostenloser Zugang zu exklusiven Veranstaltungen und Webinaren
  • Sonderkonditionen bei unseren Netzwerkpartnern

Corporate Partner

Future-Law Partner

Future-Law PRO Partner

Future-Law Partner LexisNexis
Future-Law Partner AWAK
Future-Law Partner JVU
Future-Law Partner KlarityTechnology

Corporate Partner

Future-Law Partner LexisNexis

Future-Law Partner

Future-Law Partner JVU
Future-Law Partner AWAK

Future-Law PRO Partner

Future-Law Partner KlarityTechnology