Whistleblowing-Tools: Worauf es ankommt

Der Anpfiff zum Whistleblowing geht in die Verlängerung: Laut EU-Richtlinie müssen künftig auch alle Unternehmen ab 50 Mitarbeitenden ein Hinweisgebersystem implementieren. Worauf dabei zu achten ist, erklärt Gottfried Berger, Geschäftsführer der GRC Experts GmbH. [...]

Gottfried Berger, Geschäftsführer der GRC Experts GmbH. (c) GRC Experts GmbH

Am 16. Dezember 2019 ist die EU-Richtlinie zum Schutz von Hinweisgebern – die viel diskutierte „Whistleblower-Richtlinie“ – in Kraft getreten. Am 17. Dezember 2021 war die Deadline für die Umsetzung in nationales Recht. Besser gesagt: Wäre gewesen, denn Österreich ist nach wie vor säumig. Die Europäische Union hat deshalb bereits ein Vertragsverletzungsverfahren eingeleitet.

Nichtsdestotrotz: Diese Richtlinie wird früher oder später die meisten Unternehmen in Österreich betreffen. Im ersten Schritt müssen Unternehmen und Institutionen ab 250 Mitarbeitern sowie Städte und Gemeinden ab 10.000 Einwohnern ein Hinweisgebersystem umsetzen. Im zweiten Schritt – planmäßig ab 2023 – werden aber auch Unternehmen ab 50 Mitarbeitenden und kleinere Gemeinden gesetzlich dazu verpflichtet sein.

Gekommen, um zu bleiben

Verzögerung hin oder her, Fakt ist: Die Richtlinie wird kommen. Und, vor allem: Nach vielen Skandalen und Skandälchen hat in Österreich bereits ein Umdenken in Richtung mehr Transparenz, Ehrlichkeit und weniger Korruption eingesetzt. Und dieses Bewusstsein ist gekommen, um zu bleiben.

Für alle, denen die Realisierung eines Whistleblower-Tools erst bevorsteht, stellen sich viele Fragen. Wie setzt man ein solches System bestmöglich um? Welche Optionen gibt es? Kann ich mir das leisten? Wie kann man eine solche Plattform mit möglichst wenig Aufwand betreiben?

In einigen Unternehmen sorgt die Richtlinie durchaus für Sorgen und Ärger. Aber: Auch wenn es um die Erfüllung einer gesetzlichen Vorschrift geht, sollte man nicht aus den Augen verlieren, dass Hinweisgeber-Tools ebenso Vorteile für Unternehmen bieten. Denn interne Meldesysteme können verhindern, dass Mitarbeiter sich im Fall des Falles mit ihren Hinweisen an die Presse oder an Aufsichtsbehörden wenden. Egal ob Korruption oder #metoo-Fälle: So bewahren Sie sich die Chance, Probleme intern zu regeln, ohne negative Schlagzeilen zu machen.

Welches Tool ist das richtige?

Rein theoretisch könnten Hinweise auch via E-Mail, Hotline, Briefkasten oder sogar persönlich entgegengenommen werden. Aber: Nur ein webbasiertes Whistleblowing-Tool kann die Dialogfunktion (u. a. für die erforderliche Eingangsbestätigung, Rückfragen oder für den Austausch von Dokumenten) erfüllen – und gleichzeitig die essenziellen Faktoren Anonymität, Datenschutz und Sicherheit aller Beteiligten garantieren. Die Identität der Hinweisgebenden sowie derer, die der Hinweis betrifft, muss unbedingt vertraulich bleiben, eine technische Rückverfolgbarkeit darf nicht möglich sein. Manipulationssicherheit, einfache Handhabung und Dokumentation (im Ernstfall auch vor Gericht) sind nur einige weitere Aspekte, die dafürsprechen.

Auch bei anonymen Hinweisen muss auf die Einhaltung der DSGVO geachtet werden. Denn zur Dokumentation der Meldungen und Fallbearbeitung müssen Daten gespeichert werden. Löschfristen und -prozesse im Sinne der DSGVO sollten also vorab definiert und (automatisiert) eingehalten werden. In ein gutes System zu investieren, lohnt sich daher auf jeden Fall.

Was das Hinweisgeber-System darüber hinaus bieten muss, kann von Fall zu Fall unterschiedlich sein – sollen z. B. auch Dienstleister, Zulieferer, Stakeholder die Möglichkeit zur Meldung erhalten? Muss das System in mehreren Sprachen verfügbar sein? Aufgrund dieser verschiedenen Anforderungen haben wir uns bei GRC Experts für eine – in Österreich entwickelte – cloudbasierte Web-Applikation entschieden, die individuell adaptierbar ist, von jedem beliebigen internetfähigen Gerät aus benutzt werden kann und so neben maximaler Sicherheit auch maximale Flexibilität gewährleistet.

Inhouse oder Outsourcing? Eine Frage der Ressourcen

Die Wahl des richtigen Anbieters ist auch eine Frage der Ressourcen – und zwar mehr der personellen als der monetären. Brauchen Sie nur eine technische Lösung oder ist es von Vorteil, den Betrieb an objektive Experten auszulagern (was laut EU durchaus erlaubt ist)? Denn mit der Implementierung des Tools allein ist es noch nicht getan.

Hinweisgeber müssen innerhalb von sieben Tagen eine Bestätigung über den Erhalt ihrer Meldung und binnen drei Monaten eine Rückmeldung zum Status quo bekommen. Dazwischen gilt es, den Hinweis zu prüfen, notwendige Folgemaßnahmen einzuleiten, unter Umständen (rechtliche) Unterstützung von außen beizuziehen. Regelmäßiges Monitoring und Dokumentation sind ebenfalls nötig. Für all das müssen unbedingt vorab Rollen, Zuständigkeiten und standardisierte Abläufe festgelegt werden – oder man lagert die laufende Betreuung an Profis wie die GRC Experts aus, die sich um das laufende Case Management (inklusive Reporting) kümmern, innerhalb von 24 Stunden auf eingehende Meldungen reagieren und bei Bedarf auch die Kommunikation mit Ermittlungsbehörden unterstützen.

*Der Autor Gottfried Berger ist Geschäftsführer der GRC Experts GmbH, die als Full-Service-Dienstleister für alle Governance-Themen einen speziellen Fokus auf Whistleblowing legt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*