Der Begriff „Whistleblowing“ beschreibt die Offenlegung illegaler oder unmoralischer Praktiken von Unternehmen oder Organisationen durch eine:n Hinweisgeber:in. Dabei fällt vielen spontan Edward Snowden ein. Auch Julian Assange ist in diesem Zusammenhang bekannt. Bekannt ist den meisten Menschen auch, dass die Veröffentlichung der Missstände diesen beiden Whistleblowern eher zum Nachteil gereicht hat: Sie mussten ins Ausland fliehen, sich verstecken und leiden noch heute unter den Repressalien der durch sie angeprangerten Institutionen.
Vor diesem Hintergrund ist es verständlich, dass sich Mitarbeiter:innen in Unternehmen oder bei Behörden mehr als gut überlegen, ob sie ihnen bekannte Missstände melden sollen. Die Beseitigung der gemeldeten Verfehlungen ist ungewiss, Anfeindungen, Mobbing oder Jobverlust im Falle der Aufdeckung der eigenen Identität hingegen sehr wahrscheinlich. Logisch, dass sich so kaum Menschen finden, die das Risiko eingehen und Missstände in ihrem Umfeld melden.
EU-Whistleblower-Richtlinie
Die EU will diesen Umstand ändern und legt mit der im Oktober 2019 beschlossenen EU-Direktive 2019/1937 den Grundstein zur Schaffung von Mindeststandards zum Schutz von Hinweisgebenden. Vertrauliche Meldekanäle sollen gewährleisten, dass sich Hinweisgeber:innen weder vor rechtlichen noch vor persönlichen oder beruflichen Konsequenzen fürchten müssen. Die EU-Mitgliedsstaaten müssen die Richtlinie bis 17. Dezember in nationales Recht gießen.
Mehrstufiges Eskalationsverfahren
Es ist vorgesehen, dass sich Hinweisgeber:innen zunächst intern an das Unternehmen wenden sollen. Danach können Hinweisgebende externe Kanäle nutzen, um sich an die zuständigen Behörden zu richten. Erst im dritten Schritt – wenn erstgenannte Meldungen ohne geeignete Maßnahmen geblieben sind – ist eine Offenlegung der Missstände gegenüber der Öffentlichkeit vorgesehen.
Anforderungen an Meldekanäle
Um die Vertraulichkeit und die Identität der Hinweisgeber:innen zu gewährleisten, müssen Meldekanäle sicher konzipiert, eingerichtet und betrieben werden. Weiters sollen Unbefugte keinen Zugriff auf die Meldungen haben. Das schließt auch IT-Adminstrator:innen im eigenen Unternehmen ein.
Binnen sieben Tagen muss eine Meldung über das Einlangen der Meldung durch eine unparteiische Person oder Abteilung an die hinweisgebende Person erfolgen. Das Unternehmen muss nach Erhalt einer Meldung die Inhalte analysieren und verifizieren sowie ggf. Präventionsmaßnahmen einleiten. Nach spätestens drei Monaten muss der oder die Hinweisgeber:in über Folgemaßnahmen informiert werden.
Datenschutzrechtliche Herausforderungen
Während des gesamten Prozesses ist die DSGVO einzuhalten. Die Anforderungen betreffen insbesondere die Implementierung des Meldekanals (Gewährleistung der Vertraulichkeit, Datenaufbewahrung und -löschung, ggf. Durchführung einer Datenschutz-Folgenabschätzung, Aufnahme in des Verarbeitungsverzeichnis).
Besser früher als später
Die Uhr tickt und die Implementierung eines Hinweisgebersystems bringt arbeits- und datenschutzrechtliche Herausforderungen mit sich. Ungeachtet der Deadline ist sicher: Früher oder später müssen alle Unternehmen und Institutionen die EU-Richtlinie umgesetzt haben. Wobei sicher ist, dass jene im Vorteil sind, die früher mit dem Aufbau ihres Whistleblowing Managements beginnen.
Wir unterstützen Sie dabei: Mit i-Inform wird volle Anonymität der Hinweisgeber:innen gewährleistet. Die Abwicklung des Meldeprozesses ist einfach und sicher, wobei wir Sie fachlich und technisch bei der Implementierung Ihres Meldekanals unterstützen.