Whistleblowing-Tools: Worauf es ankommt

Der Anpfiff zum Whistleblowing geht in die Verlängerung: Laut EU-Richtlinie müssen künftig auch alle Unternehmen ab 50 Mitarbeitenden ein Hinweisgebersystem implementieren. Worauf dabei zu achten ist, erklärt Gottfried Berger, Geschäftsführer der GRC Experts GmbH. [...]

Gottfried Berger, Geschäftsführer der GRC Experts GmbH. (c) GRC Experts GmbH

Am 16. Dezember 2019 ist die EU-Richtlinie zum Schutz von Hinweisgebern – die viel diskutierte „Whistleblower-Richtlinie“ – in Kraft getreten. Am 17. Dezember 2021 war die Deadline für die Umsetzung in nationales Recht. Besser gesagt: Wäre gewesen, denn Österreich ist nach wie vor säumig. Die Europäische Union hat deshalb bereits ein Vertragsverletzungsverfahren eingeleitet.

Nichtsdestotrotz: Diese Richtlinie wird früher oder später die meisten Unternehmen in Österreich betreffen. Im ersten Schritt müssen Unternehmen und Institutionen ab 250 Mitarbeitern sowie Städte und Gemeinden ab 10.000 Einwohnern ein Hinweisgebersystem umsetzen. Im zweiten Schritt – planmäßig ab 2023 – werden aber auch Unternehmen ab 50 Mitarbeitenden und kleinere Gemeinden gesetzlich dazu verpflichtet sein.

Gekommen, um zu bleiben

Verzögerung hin oder her, Fakt ist: Die Richtlinie wird kommen. Und, vor allem: Nach vielen Skandalen und Skandälchen hat in Österreich bereits ein Umdenken in Richtung mehr Transparenz, Ehrlichkeit und weniger Korruption eingesetzt. Und dieses Bewusstsein ist gekommen, um zu bleiben.

Für alle, denen die Realisierung eines Whistleblower-Tools erst bevorsteht, stellen sich viele Fragen. Wie setzt man ein solches System bestmöglich um? Welche Optionen gibt es? Kann ich mir das leisten? Wie kann man eine solche Plattform mit möglichst wenig Aufwand betreiben?

In einigen Unternehmen sorgt die Richtlinie durchaus für Sorgen und Ärger. Aber: Auch wenn es um die Erfüllung einer gesetzlichen Vorschrift geht, sollte man nicht aus den Augen verlieren, dass Hinweisgeber-Tools ebenso Vorteile für Unternehmen bieten. Denn interne Meldesysteme können verhindern, dass Mitarbeiter sich im Fall des Falles mit ihren Hinweisen an die Presse oder an Aufsichtsbehörden wenden. Egal ob Korruption oder #metoo-Fälle: So bewahren Sie sich die Chance, Probleme intern zu regeln, ohne negative Schlagzeilen zu machen.

Welches Tool ist das richtige?

Rein theoretisch könnten Hinweise auch via E-Mail, Hotline, Briefkasten oder sogar persönlich entgegengenommen werden. Aber: Nur ein webbasiertes Whistleblowing-Tool kann die Dialogfunktion (u. a. für die erforderliche Eingangsbestätigung, Rückfragen oder für den Austausch von Dokumenten) erfüllen – und gleichzeitig die essenziellen Faktoren Anonymität, Datenschutz und Sicherheit aller Beteiligten garantieren. Die Identität der Hinweisgebenden sowie derer, die der Hinweis betrifft, muss unbedingt vertraulich bleiben, eine technische Rückverfolgbarkeit darf nicht möglich sein. Manipulationssicherheit, einfache Handhabung und Dokumentation (im Ernstfall auch vor Gericht) sind nur einige weitere Aspekte, die dafürsprechen.

Auch bei anonymen Hinweisen muss auf die Einhaltung der DSGVO geachtet werden. Denn zur Dokumentation der Meldungen und Fallbearbeitung müssen Daten gespeichert werden. Löschfristen und -prozesse im Sinne der DSGVO sollten also vorab definiert und (automatisiert) eingehalten werden. In ein gutes System zu investieren, lohnt sich daher auf jeden Fall.

Was das Hinweisgeber-System darüber hinaus bieten muss, kann von Fall zu Fall unterschiedlich sein – sollen z. B. auch Dienstleister, Zulieferer, Stakeholder die Möglichkeit zur Meldung erhalten? Muss das System in mehreren Sprachen verfügbar sein? Aufgrund dieser verschiedenen Anforderungen haben wir uns bei GRC Experts für eine – in Österreich entwickelte – cloudbasierte Web-Applikation entschieden, die individuell adaptierbar ist, von jedem beliebigen internetfähigen Gerät aus benutzt werden kann und so neben maximaler Sicherheit auch maximale Flexibilität gewährleistet.

Inhouse oder Outsourcing? Eine Frage der Ressourcen

Die Wahl des richtigen Anbieters ist auch eine Frage der Ressourcen – und zwar mehr der personellen als der monetären. Brauchen Sie nur eine technische Lösung oder ist es von Vorteil, den Betrieb an objektive Experten auszulagern (was laut EU durchaus erlaubt ist)? Denn mit der Implementierung des Tools allein ist es noch nicht getan.

Hinweisgeber müssen innerhalb von sieben Tagen eine Bestätigung über den Erhalt ihrer Meldung und binnen drei Monaten eine Rückmeldung zum Status quo bekommen. Dazwischen gilt es, den Hinweis zu prüfen, notwendige Folgemaßnahmen einzuleiten, unter Umständen (rechtliche) Unterstützung von außen beizuziehen. Regelmäßiges Monitoring und Dokumentation sind ebenfalls nötig. Für all das müssen unbedingt vorab Rollen, Zuständigkeiten und standardisierte Abläufe festgelegt werden – oder man lagert die laufende Betreuung an Profis wie die GRC Experts aus, die sich um das laufende Case Management (inklusive Reporting) kümmern, innerhalb von 24 Stunden auf eingehende Meldungen reagieren und bei Bedarf auch die Kommunikation mit Ermittlungsbehörden unterstützen.

*Der Autor Gottfried Berger ist Geschäftsführer der GRC Experts GmbH, die als Full-Service-Dienstleister für alle Governance-Themen einen speziellen Fokus auf Whistleblowing legt.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*