Öffentliches Whistleblowing

Werden Interna in der Öffentlichkeit breitgetreten, dann ist der Skandal regelrecht vorprogrammiert.  

Gleichzeitig können hinweisgebende Mitarbeiter -durch einen vernünftigen Prozess zum Hinweisgeberschutz- das eigene Unternehmen vor enormen Schäden bewahren.

Das Hinweisgeberschutzgesetz (HinSchG) beschert Unternehmen seit diesem Jahr oft drakonische Strafen für den Fall, dass Hinweisgeber von Compliance Fällen im Unternehmen oder gar öffentlich bekannt gegeben werden. 

Hinweisgeber müssen anonym bleiben

Die Identität von Whistleblowern muss in Privatunternehmen anonym bleiben, deren Hinweise streng vertraulich behandelt werden.

Whistleblower gehen oft ein großes persönliches Risiko ein, um Missstände aufzudecken. Das Hinweisgeberschutzgesetz wird umgangssprachlich oft „Whistleblowerschutz“ genannt. Was den Kern der Sache nur unzureichend beschreibt…

Warum ist Whistleblowing wichtig für Unternehmen?

Beim Whistleblowing werden Unternehmen häufig frühzeitig auf Fehlentwicklungen und Missstände hingewiesen. Es geht nur in den seltensten Fällen um destruktive Denunziation, also um eine Schädigungsabsicht der hinweisgebenden Person.

Die folgende Grafik aus dem Jahr 2017 zeigt die Ergebnisse eine Umfrage, in welchen Situationen Personen unangemessenes Verhalten in ihrem Unternehmen melden würden.

Öffentliches Whistleblowing ist in der Beliebtheitsskala nicht gerade weit oben. Aber jeder Arbeitgeber sollte dankbar sein, wenn Hinweise von aufmerksamen Mitarbeitern mit Zivilcourage bei ihm eingehen.

Daher sollte man die Möglichkeit anonymer Hinweise auf Kontrolllücken so leicht wie möglich machen. Dazu hält uns auch die EU-Whistleblower-Richtlinie an. Denken Sie etwa an Hinweise zum Thema Betriebsspionage und die Weitergabe von Geschäftsgeheimnissen (Verschlusssachen wie Konstruktionszeichnungen eines Prototyps). Auch ist es von Vorteil, wenn auf die Nichtachtung der DSGVO oder gar auf sexuelle Übergriffe im Unternehmen aufmerksam gemacht wird.

Was besagt die EU-Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937)?

Deutschland hatte (wie 22 andere Mitgliedstaaten) die EU-Whistleblower-Richtlinie nicht rechtzeitig umgesetzt. Deshalb wurde die EU-Kommission Anfang 2022 in Form eines förmlichen Vertragsverletzungsverfahren gegen Deutschland aktiv. Es wurde auch ein Unterstützungsfond angeregt. Dieser soll kompensatorische Leistungen und Beratungen für Whistleblower finanzieren. 

Durch das HinSchG sollen hinweisgebenden Personen besser geschützt und die EU-Whistleblower-Richtlinie in nationales Recht umgesetzt werden. Das bedeutet einfach ausgedrückt: Repressalien und Vergeltungsmaßnahmen gegenüber Hinweisgebern sind untersagt.  

Außerdem wurde eine Regelung zur Beweislastumkehr eingeführt. Die Folge: Arbeitgeber müssen künftig nachweisen, dass Maßnahmen gegen Arbeitnehmer nicht im Zusammenhang mit der Aufdeckung von Kontrolllücken, Gesetzesverstößen und sonstigen Missständen stehen.  

Repressalien und Mobbing sind häufig die Folgen von Whistleblowing

Traut sich ein Mitarbeiter Meldung von Missständen nach dem „Dienstweg-Prinzip“ zu geben, dann muss er sich im weiteren Verlauf oft vor Mobbing oder gar dem Verlust seines Arbeitsplatzes fürchten. Unterstützung vom Vorgesetzen kann er ebenfalls nicht immer erwarten. Interne Beratung ist deutschlandweit noch Mangelware. Geheimnisschutzbeauftragte gibt es oft gar nicht.

Genau für diese Fälle gibt es nun das Hinweisgeberschutzgesetz (HinSchG). Dieser Entwurf soll einen nachhaltigen und wirksamen Schutz für jeden Hinweisgeber vor Benachteiligungen bilden und gleichzeitig die EU-Hinweisgeberschutzrichtlinie flächendeckend umsetzen.

Die Compliance – Meldestelle

Gibt es keinen sauberen Prozess zum Hinweisgeberschutzgesetz (HinSchG), dann sendet der Mitarbeiter unter Umständen -ohne Schutz seiner Identität- eine E-Mail mit den relevanten Informationen an eine Ombudsperson oder an „compliance@„ oder an „Hinweise@“. Das ist jedoch eine denkbar schlechte Idee, weil so definitiv einzelne Menschen die Informationen im Klartext mitlesen können oder sehen, dass Person X eine E-Mail an solch eine Adresse gesendet hat. Gerüchte machen dann intern an der Kaffeemaschine schnell die Runde. Zu klar ist zu erkennen, wer der Hinweisgeber ist.  

Dieser sollte aber immer in der Lage sein, anonym zu bleiben, um für seinen mutigen Einsatz eben keine Repressalien befürchten zu müssen. In den meisten Betrieben gibt es hier deutliche Regelungs- und Kontrolllücken. Bereits im November 2020 hat das BMJV (Bundesministerium der Justiz und für Verbraucherschutz) den klaren Referentenentwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, erarbeitet.

Teils geht es um eine Ordnungswidrigkeit, oft genug geht es um Strafrecht. Das HinSchG sollte niemand auf die leichte Schulter nehmen. 

Die Lösung sind definierte und ausgewählte Hinweisempfänger.

Spezielle interne oder externe Anlaufstellen für Whistleblower und die Schulung der Teams zum Thema Geheimhaltung von Verschlusssachen sind heute noch nicht flächendeckend erkennbar. 

Neben Meldestellen unterstützt auch eine firmeninterne Kultur der Offenheit Hinweise auf Missstände. Es ist gut, wenn Whistleblower frühzeitig darauf hinweisen können, wenn irgend etwas schiefläuft. Zeitnahe Aufdeckungen können schließlich größere Schäden vom Unternehmen abwenden und somit auch Ihren Arbeitsplatz sichern. 

Was ist das Hinweisgeberschutzgesetz (HinSchG)?

• Es gibt den persönlichen Anwendungsbereich (§ 1 HinSchG-E), er soll definitiv alle Personen umfassen, welche durch ihr berufliches Umfeld Informationen über etwaige gesetzliche Verstöße melden könnten. 
• Der sachliche Anwendungsbereich (§ 2 HinSchG-E) soll die durch die definierte EU-Richtlinie vorgegebenen Rechtsbereiche abdecken.
• Wichtig: Für „Hinweisgebende Personen“ werden mit internen und externen Meldestellen zwei gleichwertig nebeneinanderstehende Meldewege vorgesehen, zwischen denen sie frei wählen können (§§ 7 bis 30 HinSchG-E).  
• Letztlich geht es darum, dass eine hinweisgebende Person Informationen über Verstöße auch öffentlich zugänglich machen darf (§ 31 HinSchG-E). Ohne deshalb geschädigt zu werden.
• Der Arbeitgeber ist hier definitiv in der Pflicht. Denn insofern hinweisgebende Personen die Anforderungen des HinSchG-E an ihre Meldung oder Offenlegung einhalten, werden sie umfangreich vor einer Kündigung oder sonstigen Benachteiligungen geschützt (§§ 32 bis 38 HinSchG-E). 

Gut zu wissen: Neben dem oben genannten sieht der Entwurf kleinere Änderungen im Arbeitsschutzgesetz und dem Beamtenstatusgesetz vor.

Cryptshare bietet hier ausdrücklich keine Rechtsberatung, wir möchten Sie auf dieses Gesetz aufmerksam machen und eine technische Lösung vorschlagen.

Vereinbaren Sie eine kostenfreie Demo-Session. 

Wie geht es den Mitarbeitenden?

Kann ich einen anonymen Hinweis geben, wenn etwas schiefläuft? Ist meine Identität geschützt?

Wird ein Mitarbeiter auf Missstände aufmerksam, wie die Weitergabe streng vertraulicher Informationen, dann gerät er nicht selten in einen Gewissenskonflikt. Er möchte als Whistleblower durch die Bekanntgabe der Information keine Repressalien und Mobbing befürchten und erst recht keine Kündigung riskieren. Gleichzeitig gefährden die entdeckten Machenschaften unter Umständen seine eigenen Werte oder auch sehr viele Arbeitsplätze.

Wie geht es dem Arbeitgeber?

Natürlich möchte der Arbeitgeber wissen, wenn etwas schiefläuft. Dazu muss er aber den Hinweisgeber im Sinne eines Informantenschutzes vor Nachteilen bewahren. Genau dafür gibt es das Hinweisgeberschutzgesetz (HinSchG). Eine externe Anwaltskanzlei kann detailliert Rat geben.

Es liegt nun also im eigenen Interesse eines jeden Unternehmens, hinweisgebenden Personen Schutz und Anonymität zu garantieren.

Wie kann eine interne Meldestelle absolut wasserdicht realisiert werden?

Auf den ersten Blick könnte man schlussfolgern, dass es als interne Meldestelle für Hinweisgeber ausreicht ein zentrales Sammelpostfach à la hinweise@IhreDomain einzurichten und die Belegschaft zu bitten etwaiges Fehlverhalten via E-Mail dort zu melden.

Bereits auf den zweiten Blick entpuppt sich dieser Lösungsansatz aber als Fehleinschätzung, die ein Unternehmen in letzter Konsequenz teuer zu stehen kommen kann. Grund hierfür ist der Schutz der Identität des Hinweisgebers. Laut dem HinSchG muss die Identität des Whistleblowers geschützt werden, und das ist bei der Lösung mit E-Mail-Sammelpostfächern aus vielerlei Gründen nicht gegeben.

Warum E-Mail-Postfächer eher nicht als interne Meldestelle verwendet werden sollten

• Der Hinweisgeber kann eindeutig identifiziert werden, wenn er von seiner geschäftlichen E-Mail-Adresse sendet.
• Der Personenkreis, der auf das Postfach Zugriff hat, kann eingeschränkt werden. Häufig wird jedoch nicht dokumentiert wer wann welche E-Mail gelesen hat.
• Die IT-Administration hat praktisch immer die Möglichkeit sich Zugriff auf das Postfach zu verschaffen. Zwar gibt es häufig vertragliche Regelungen hierzu, es ist aber nicht auszuschließen, dass im Falle von Whistleblowing alle Register gezogen werden um den Hinweisgeber zu identifizieren. 
• Selbst wenn der Inhalt der E-Mail durch Verschlüsselung nicht gelesen werden kann, so offenbaren eingehende E-Mails doch Metadaten wie Datum, Routing-Wege, IP-Adressen etc. Auch hierdurch sind Rückschlüsse auf den Hinweisgeber möglich.

Da das HinSchG ferner vorsieht, dass auf Hinweise binnen einer Woche reagiert wird, muss die Compliance-Abteilung in der Lage sein zu antworten. Wenn das Unternehmen nicht über ein Hinweisgebersystem verfügt, wird es sich spätestens jetzt mit unüberwindbaren Hürden konfrontiert sehen. Denn wie soll die Nachricht beim Hinweisgeber ankommen, wenn seine Identität unbekannt ist?

Warum auch Cryptshare eher nicht als interne Meldestelle in Frage kommt

Als Hersteller der sicheren Kommunikationslösung Cryptshare würden wir Ihnen selbstverständlich gerne erläutern, wie Sie die interne Meldestelle damit abbilden können. Tatsächlich spricht zunächst auch einiges dafür:

• Die starke Verschlüsselung der Daten
• keine Einschränkungen, was die Datenmengen anbelangt
• Einfache Benutzeroberfläche
• Bestätigung nach Bereitstellung der Daten
• Benachrichtigung über Abfruf der Daten
• Automatische Löschung der Daten nach festgelegtem Zeitraum

Allerdings liegt die Stärke von Cryptshare gerade in der Nachvollziehbarkeit von Datentransfers. Also neben der Ermöglichung von sicherer Informationsübertragung, die Dokumentation von Sender und Empfänger. Da die Bereitstellungs-Benachrichtigungen heute ausschließlich via E-Mail übertragen werden, ergeben sich daraus annähernd die gleichen Nachteile wie bei der oben erläuterten Lösung mittels E-Mail-Postfach. 

Für die Abbildung einer digitalen, internen Meldestelle empfiehlt sich aus den genannten Gründen ein in der EU gehostetes, ISO-zertifiziertes Hinweisgebersystem. Eine kurze Recherche bei Google offenbart ein unüberschaubares Angebot, das es zu prüfen lohnt.

Häufig bieten diese Systeme direkt ein Prozessmanagement mit an, sodass eingegangene Anfragen standardisiert abgearbeitet werden können. Ferner sind die Vorqualifizierung von Hinweisen sowie Rechtsberatung fester Bestandteil vieler Dienste. Private Unternehmen, die den Anforderungen des HinSchG Rechnung tragen wollen, empfiehlt sich deshalb der Einsatz eines solchen Hinweisgebersystems als interne Meldestelle.

Wenn es aber darum geht, Datenschutzverstöße oder versehentliches Leaken von Geschäftsgeheimnissen vorzubeugen, dann ist Cryptshare die richtige Wahl für Ihr Unternehmen.