Whistleblowerhotline
Autorin & Juristin Nicole Biermann-Wehmeyer - Expertin für Compliance Themen
Whistleblowerhotline und IT
Die Richtlinie umfasst folgende Anforderungen an die digitale Umsetzung:
- Einrichtung von Kanälen und Verfahren für interne Meldungen und Folgemaßnahmen
- Möglichkeit zur schriftlichen und mündlichen Meldung
- Schutz der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden
- Empfangsbestätigung an den Hinweisgeber innerhalb von sieben Tagen
- Rückmeldung an den Hinweisgeber innerhalb von drei Monaten
- Dokumentation aller eingehenden Meldungen
- Maßnahmen, um jede Form von Repressalien gegen den Hinweisgeber zu verhindern (etwa Einschüchterung, Rufschädigung oder fristlose Kündigung)
Erfordernisse in der digitalen Umsetzung
Welche Erforderlichkeiten gibt es nun für die digitale Umsetzung. Ich habe einige wichtige Punkte zusammengestellt:
- Eindeutige Meldewege
- Aufklärung und Handreichung über Möglichkeiten und Grenzen
- Sicherer Kommunikationsweg
- Eingangsbestätigung
- Rückmeldung
- “Sicheres Postfach”
- Das Postfach wird bei Meldung erstellt und ist z.B. nur über einen generierten Code abrufbar
- Dokumentation aller eingegangenen Meldung
In allen Schritten gilt, dass Vertraulichkeit und Schutz gewährleistet werden müssen. Gerade in der heutigen Zeit ist der Datenschutz extrem wichtig.
Erfordernisse und Anforderungen
Es reicht aus, eine Meldestelle konzernweit einzurichten. Das HinSchG erlaubt mit dem sog. „Konzernprivileg“ konzernweite Meldestellen. Danach kann die interne Meldestelle eines Unternehmens auch innerhalb eines Konzerns zentral bei einer Konzerngesellschaft eine unabhängige und vertrauliche Stelle als Dritter im Sinne des § 14 Absatz 1 HinSchG angesiedelt werden. Dabei ist es notwendig, dass die originäre Verantwortung dafür, einen festgestellten Verstoß weiterzuverfolgen und zu beheben, immer bei dem jeweiligen beauftragenden Konzernunternehmen verbleibt. Für hinweisgebende Personen muss ein leichter Zugang gewährleistet (z.B. keine sprachlichen Barrieren) sein.
Der Scope in der digitalen Umsetzung : Usability und Zugänglichkeit des Systems
Unternehmen sollten intensiv ein einfach zu nutzendes, internes Hinweisgebersystem unterstützen, um möglichst starke Anreize zu setzen, dass das interne Hinweisgebersystem vorrangig genutzt wird und somit ein externer Hinweis möglichst unterbleibt.
Die Unternehmen sollten dafür den Beschäftigten klare und leicht zugängliche Informationen über die Nutzung des internen Meldeverfahrens an die Hand geben. Die Möglichkeit einer externen Meldung darf hierdurch jedoch nicht beschränkt oder erschwert werden.
Vertraulichkeit & Dokumentation
Wie sieht es nun mit der Vertraulichkeit und Beschränkung von Nutzern aus?
Die eigene IT Abteilung muss von den Informationen abgeschirmt sein – da sie in der Regel nicht die zuständige Stelle zur Bearbeitung der Meldungen ist. Einzig die zur Bearbeitung der Meldungen zuständige Stelle darf Inhalte einsehen
Wie sieht es mit der Dokumentation im System aus?
Die in einer Meldestelle für die Entgegengenahme von Meldungen zuständige Stelle, dokumentiert alle eingehenden Meldungen in dauerhaft abrufbarer Weise unter Beachtung des Vertraulichkeitsgebotes. Erfolgt die Meldung über das Telefon oder über eine andere Art der Sprachübermittlung, darf eine brauchbare Tonaufzeichnung des Gespräches nur mit der Einwilligung der hinweisgebenden Person erfolgen. Die Dokumentation ist drei Jahre nach Abschluss des Verfahrens zu löschen.
Anforderungen an das IT-System
Welche Anforderungen werden nun an die Datensicherheit gestellt.
Folgende Maßnahmen fallen unter den Begriff: “Geeignete technische Sicherheitsmaßnahmen”
- Schutz vor maschinellen Angriffen
- Erstellung und Zugang zum sicheren Postfach
- Einsichtnahme nur durch Hinweisgeber
- Beschränkung von Nutzerzugängen
- Kein Zugriff der Betreibenden Personen des Systems
- Alleiniger inhaltlicher Zugriff zuständige Meldestelle
- Verschlüsselung der Falldaten
- Übermittlungssicherheit (via SSL / EtoE)
Serverstandort (und z.B. ISO 27001 für den Hostingbetreiber)
Praktische Umsetzung - Whistleblowerhotline und IT
Die Vertraulichkeit der Meldungen ist digital abbildbar.
Bei allen Meldekanälen muss die Vertraulichkeit der Identität des Whistleblowers gewahrt sein, damit dieser keinerlei Repressalien zu befürchten hat.
Da alle Meldungen von Verstößen dokumentiert und Folgemaßnahmen ergriffen werden müssen, sollte jede Meldung abrufbar und für Compliance-Beauftragte leicht zu bearbeiten sein.
Internationale bzw. globale Unternehmen sollten auf eine orts- und zeitunabhängige Hinweisabgabe achten
Bei der Umsetzung des internen Meldekanals sollte darauf geachtet werden, dass die für die Bearbeitung der Meldungen zuständigen Mitarbeitenden speziell geschult und auch mit den geltenden Datenschutzvorschriften vertraut sind, damit sie die Meldungen effizient bearbeiten und die Kommunikation mit den Hinweisgebenden sowie geeignete Folgemaßnahmen einleiten können.
Welche Maßnahmen sind zu empfehlen?
Binden Sie bereits in die Onboarding Prozesse Compliance und Datenschutz Schulungen sowie eine Aufklärung zur Whistleblowerhotline mit ein.
Evaluieren Sie Ihr Compliance Management System durch regelmäßige Risikoanalysen und Anpassungen. Auch an dieser Stelle sollten die Ergebnisse der Whistleblowerhotline integriert werden.
Sorgen Sie für ein Handbuch, welches für jeden Mitarbeitenden zugänglich ist!
Veröffentlichen Sie regelmäßig Compliance Hinweise im Intranet!
Veranstalten Sie regelmäßige Schulungen und E-Learnings!
Ich stehe für Beratungen zur Verfügung.
Viel Erfolg!
Fazit
Wenn Sie daran interessiert sind, eine Rolle als Compliance Officer zu übernehmen, ist eine qualitativ hochwertige Ausbildung der erste Schritt auf diesem Weg. Wir bieten Ihnen gerne eine praxisnahe Ausbildung zu allen Themen an. Rufen Sie uns gerne unter der Nummer 02871-239507-8 an.
Kontaktieren Sie uns gerne
Sie interessieren sich für mehr Details? Melden Sie sich gerne bei uns! Wir freuen uns auf Sie!
