Man höre und staune, in Deutschland ist ein neuer Entwurf für ein Hinweisgeberschutzgesetz (HinSchG) auf der Zielgeraden. Nun wird es für private Unternehmen und juristische Personen des öffentlichen Rechts in der EU mit 250 und mehr Mitarbeitenden ernst, denn sobald das Gesetz in Kraft ist, sollten ihre internen Whistleblowing-Meldestellen die Arbeit aufnehmen. Schweizer Unternehmen sind mittelbar betroffen, wenn sie eine Tochtergesellschaft in der EU haben. Dann bietet sich eine gruppenweite Lösung an.

Was also ist zu tun? Vielleicht haben Sie wenig Zeit und fragen sich, wie Sie zusätzlich zu Ihrem Alltagsgeschäft auch noch eine Meldestelle aufbauen sollen? Vielleicht sehen Sie gar nicht, wie die Ressourcen für das reichen sollen? Ein erster Schritt könnte sein, einen Überblick über den Ablauf des Projektes zu gelangen. Das will ich Ihnen hier in fünf Schritten zeigen. Damit kommen Sie schneller ans Ziel.

Stand der nationalen Gesetze

Die EU hat gegen einige Mitgliedstaaten bereits Vertragsverletzungsverfahren eingeleitet. Eigentlich sollte die Whistleblowerrichtlinie bis zum Ende des letzten Jahres umgesetzt werden, doch das ist der Mehrzahl der 27 Mitgliedstaaten nicht gelungen. Aber diese Gesetze werden kommen, wenn auch unterschiedlich schnell. Das ist der bisherige Stand:

Eine Bauanleitung

Whistleblower sind Personen, die Missstände in einer Organisation im öffentlichen Interesse aufdecken. Da diese Hinweisgeber viel Positives bewirken, sollen sie besser geschützt werden. Dafür gibt die EU-Whistleblower-Richtlinie einen Mindeststandard vor. Diese Standards verpflichten Unternehmen und Behörden gleichermassen Prozesse aufzubauen, die Hinweisgeber wirksam schützen.

Es gibt also die Whistleblower-Richtlinie und die nationalen Umsetzungsgesetze. Diese allein genügen als Checkliste für den Aufbau Ihrer Meldestelle noch nicht, denn auch Datenschutz und Arbeitsrecht muss berücksichtigt werden. Und auch das ist noch nicht alles, denn IT, HR und Kommunikation sind ebenfalls matchentscheidend.

Und das ist das mühsame an einem solche Projekt. Die Gesetze zeigen Ihnen wie das Bauwerk am Ende aussehen soll, doch eine Bauanleitung bekommen Sie nicht mitgeliefert. Diese Einzelteile suchen Sie mühsam zusammen. Um Ihnen da etwas Arbeit abzunehmen, möchte ich ihnen hier einen Überblick über das Projekt und damit eine Art Fahrplan an die Hand geben.

Mehr als eine Hotline

Ein betriebsinternes Meldesystem ist mehr als eine Hotline. Von aussen betrachtet ist es ein „Briefkasten“ in Form einer Weblinks, einer Telefonnummer, einer Email oder einer Kontaktadresse. Dieser spezielle „Briefkasten“ ist für Meldungen gedacht, in denen es um Compliance-Verstösse geht. Das können Themen wie Korruption, Geldwäsche, Diskriminerung, Menschenrechtsverletzungen, Verstösse gegen Umweltschutzvorschriften und vieles mehr sein.

Häufig melden die eigenen Mitarbeiter:innen solch ein Fehlverhalten oder manchmal auch aussenstehende Dritte, wie beispielsweise Lieferanten. Mit ihrer Meldung zielen sie darauf ab, dass das Unternehmen ein Fehlverhalten abstellt und die fehlerhaften Abläufe verbessert. Damit das gelingt, sind zwei Prozesse erforderlich. Aus unternehmerischer Sicht arbeitet ein solches Meldesystem auf der Basis von zwei Prozessen, dem Melde- und dem Fallbearbeitungsprozess, die wie zwei Zahnräder ineinander greifen.

Der Meldeprozess

Beim Meldeprozess geht es um dem Empfang der Meldung. Der Meldeprozess bestimmt unter anderem, was gemeldet werden soll, wer melden darf, durch welche sicheren Meldekanäle Hinweise entgegen genommen werden können und welche Personen sie empfangen. Geregelt ist, wie Hinweisgeber geschützt werden und wie das Unternehmen mit Hinweisgebern kommuniziert.

Der Fallbearbeitungsprozess

Im anschliessenden Fallbearbeitungsprozess ist festgelegt, durch wen und wie die Meldung bearbeitet wird, welche Folgen eine Meldung hat, wie die Schritte dokumentiert werden und wie das Unternehmen mit den Meldenden kommuniziert.

Diese beiden Prozesse müssen aufgebaut werden, damit die Meldung auch zur gewünschten Veränderung führt.

Ein interdisziplinäres Projekt

Schon die kurze Beschreibung dieser beiden Prozesse macht deutlich, dass juristischer Sachverstand allein nicht genügt. Für die Umsetzung sind neben rechtlichen auch organisatorische, technische, prozessuale, kommunikative und in internationalen Unternehmen auch kulturelle Herausforderungen zu meistern. Daher kann es sinnvoll sein, mit der Umsetzung des Projektes neben einer Projektleitung ein Projektteam zu beauftragen. In der Praxis ist die Projektleitung nicht immer bei der Rechts- oder Complianceabteilung. Teilweise wir auch die Finanz- oder Personalabteilung mit der Umsetzung betraut.

Die nachfolgende Grafik zeigt den „Fahrplan“ zum Implementieren eines Hinweisgebersystems in fünf Etappen Es beginnt mit dem Planen. Daran schliesst das Implementieren der geplanten Massnahmen an. Ist das geschehen, kann das System ausgerollt und betrieben werden. Schliesslich sollte gemonitort werden, ob es tatsächlich die gewünschten Ergebnisse bringt und wie es verbessert werden kann.

Planen

Schritt eins ist die Planung, mit der der Startschuss fällt. Eine gute Planung erspart später einiges an Aufwand. Die Planung beginnt mit einem Beschluss des Topmanagements. Ein solcher ist sowohl auf der Ebene der Mutter- als auch der Tochtergesellschaft erforderlich.

Beschluss der Unternehmensleitung

Das Hinweisgebersystem ist für eine Schweizer Muttergesellschaft selbst zwar nicht zwingend, aber es könnte sich anbieten statt mehreren Einzellösungen in den Tochtergesellschaften einen gruppenweiten Mindeststandard einzuführen. Wie weit sich die Prozesse zentralisieren lassen, wird derzeit stark diskutiert und die nationalen Umsetzungen bleiben insofern abzuwarten. Zwei Stellungnahmen der EU-Kommission Juni 2021 (3939215 und 467786) sprechen für eine dezentrale Meldung und Untersuchung. Das würde bedeuten, das Unternehmen müsste in jedem Land oder sogar in jeder Gesellschaft einen lokalen Meldekanale und eine lokale Untersuchung garantieren. Das stösst auf viel Kritik.

Das deutsche HinSchG spricht sich in der Begründung auf Seite 85 für die Möglichkeit einer zentralen Meldestelle aus. Das dürfte bei vielen Unternehmen für ein Aufatmen sorgen.

Das Topmanagement muss den groben Rahmen für das Projekt abstecken. Beeinflussende Faktoren sind die Art, Grösse und Organisation des Unternehmens, der anzuwendende Rechtsrahmen, die Länder, in denen das Unternehmen tätig ist und auch die in der Vergangenheit empfangenen Meldungen. Zu den Eckpunkten gehört: Wird das System zentral oder dezentral implementiert? Wie erfolgen die Berichte? Welche Meldekanäle sollen für wen geöffnet werden? Sind anonyme Meldungen erlaubt? Welche Ressourcen stellen wir zur Verfügung etc.?

Darüber hinaus ist die Unternehmensleitung für die Glaubwürdigkeit des Systems von entscheidender Bedeutung. Das Meldesystem wird nur genutzt, wenn die Meldenden Vertrauen haben und keine Nachteile befürchten müssen. Dieses Vertrauen in die Ernsthaftigkeit kann die Unternehmensleitung nur erzielen, wenn sie voll hinter dem Projekt steht. Das gilt sowohl für die Konzernleitung als auch die Leitungen in den Ländern.

Kick-off Meeting

Bei der späteren Umsetzung ist die Unterstützung durch verschiedene Funktionen im Unternehmen gefragt. Deshalb ist es ratsam, diese von Anfang an einzubeziehen. Meist sind das die Bereiche IT, Kommunikation, HR, Audit, Legal und Datenschutz. Auch Corporate Responsibility kann ein Interesse an einer Meldestelle haben. Im Kick-off Meeting kann der Sinn und Zweck des Projektes erläutert, wesentliche Elemente abgestimmt und Feedback eingeholt werden. Zudem können die Funktionen über die auf sie zukommenden Aufgaben informiert werden. Die Projektleitung sollte den Projektplan vorstellen und abstimmen.

Analyse des Status Quo

Ausserdem empfiehlt es sich Informationen über den bisherigen Stand im Unternehmen einzuholen. Auch wenn das Unternehmen bisher kein formalisiertes Meldesystem kannte, finden Hinweise für gewöhnlich ihre Wege. Die Projektleitung sollte ein Bild darüber haben, welche Meldungen bisher eingingen, wie sie aufgearbeitet und dokumentiert wurden und über welche Kanäle diese eingingen.

Dabei sollte nach formellen und informellen Wegen Ausschau gehalten werden. Geht es um Standorte in verschiedenen Ländern, sind die jeweiligen nationalen Gesetze und kulturellen Unterschiede zu erkennen und zu berücksichtigen. Nationale Besonderheiten müssen dann in Einklang mit einer gruppenweiten Mindestlösung gebracht werden.

Ein möglichst guter Überblick kann helfen, die richtigen Kanäle auszuwählen und besser zu kommunizieren. Beispielsweise sind in manchen Ländern telefonische Hotlines sehr gefragt während diese in anderen Ländern kaum genutzt werden. Eventuell existieren auch bereits Email-Adressen, Ombudspersonen oder Hotlines. Dann muss entschieden werden, wie damit in der Zukunft umgegangen werden soll.

Melde- und Falluntersuchungsprozess planen

Ist das geschehen, geht es darum sowohl den Melde- als auch den Fallbearbeitungsprozess grob zu skizzieren. Der Meldeprozess bestimmt unter anderem bei welchen Personen die Meldungen eingehen, wer melden darf, was gemeldet werden soll (Kategorien), wie die Vertraulichkeit sichergestellt wird, welche Meldekanäle angeboten werden und ob anonyme Meldungen gestattet sind. Ganz wichtig ist sicherzustellen, dass Personen die Hinweise abgeben nicht benachteiligt werden. Regelmässig wird dieser Prozess in einem formalen Dokument wie einer Weisung oder internen Richtlinie festgehalten. Meldungen müssen zudem innerhalb von sieben Tagen nach Eingang bestätigt werden. Eine Rückmeldung über den Fortschritt der Fallbearbeitung ist dem Hinweisgeber innerhalb von drei Monaten zu senden.

Regelmässig werden verschiedene Meldekanäle kombiniert. Für den Melder muss die Hürde möglichst gering und der Zugang einfach sein. Meldungen müssen mündlich und schriftlich abgegeben werden können und ein persönliches Gespräch soll ebenfalls möglich sein.

An den Meldeprozess schliesst der Fallbearbeitungsprozess an. Zeitliche Vorgaben, bis wann die Fallbearbeitung abzuschliessen ist, gibt es nicht. Zuerst müssen eingegangene Meldungen auf ihre Relevanz und Stichhaltigkeit geprüft werden. Nicht relevante Meldungen können dokumentiert und geschlossen werden, andere Meldungen werden an die zuständigen Funktionen weitergeleitet oder intern untersucht (“Triage“). Je nach Untersuchungsergebnis muss das Fehlverhalten abgestellt, müssen Sanktionen ergriffen und Verbesserungsmassnahmen eingeleitet werden. Dafür sind ebenfalls Zuständigkeiten und Abläufe zu bestimmen. Wichtige Punkte sind, dass nur ein begrenzter Personenkreis einbezogen wird, um die Vertraulichkeit der Meldung abzusichern (need to know). Die Untersuchung muss unabhängig erfolgen. Es ist festzulegen, wann und wie mit den Hinweisgebern kommuniziert wird und inwieweit ihnen der Fortschritt der Untersuchung dessen Ausgang mitgeteilt werden kann ohne den Untersuchungszweck zu gefährden. Die Schritte und Ergebnisse müssen revisionssicher dokumentiert werden. Ist die Untersuchung abgeschlossen, ist sicherzustellen, dass nach den Ursachen für den Vorfall gesucht wird und Verbesserungsmassnahmen ergriffen werden.

Mögliche Tools evaluieren

Sind diesen beiden Prozesse grob skizziert, ist zu prüfen wie sie sich technisch und personell bestmöglich umsetzen lassen. Eventuell sind Ombudspersonen oder Provider auszuwählen.

Projektplan erstellen

Existiert nun eine konkrete Vorstellung darüber wo die Reise hingehen soll, ist es Zeit für den Projektplan. Dieser legt fest, wer für welchen Schritt verantwortlich ist und wann welche Meilensteine erreicht werden sollen. Ja nach Grösse des Unternehmens wird die Umsetzung mehr oder weniger Zeit in Anspruch nehmen. Dann kann das Projekt ein paar Wochen oder auch Monate gehen.

Implementieren

Im zweiten Schritt geht es an die Umsetzung. Die Umsetzungsschritte betreffen drei Bereiche. Rechtliche Anforderungen müssen erfüllt, Prozesse implementiert und technische Massnahmen umgesetzt werden.

Rechtliche Umsetzung

Es sind Dokumente zu erstellen und Anforderungen einzuhalten, die sich aus drei verschiedenen Rechtsbereichen ergeben. Das sind erstens spezifische nationale Normen für Hinweisgebersysteme, zweitens Anforderungen aus dem nationalen Arbeitsrecht und drittens solche aus der Datenschutzgrundverordnung (DSGVO) oder dem nationalen Datenschutzrecht.

Der Meldeprozess wird regelmässig in einem förmlichen und damit auch verbindlichen Dokument festgehalten. Hierbei sind die nationalen Besonderheiten und gesetzlichen Vorgaben zu beachten. Bereits existierende Handbücher, Verhaltens- oder Lieferantenkodizies oder bestehendes Schulungsmaterial sind anzupassen. Die Mitarbeiter oder auch Dritte müssen auf die neuen Meldemöglichkeiten hingewiesen werden. Das jeweilige nationale Recht wird für den Meldeprozess spezifische Regelungen enthalten. Diese sind zu überprüfen und die nationalen Prozesse anzupassen, beispielsweise sind anonyme Meldungen in einigen Ländern nicht gestattet.

Da die Fallbearbeitung im Einzelfall sehr individuell sein kann und in den Ländern erstaunlich unterschiedlich ist, wird sie meist unternehmensintern weniger förmlich geregelt. Aber auch hier sollten Leitlinien zur Verfügung stehen, um wesentliche Punkte sicher zu stellen, beispielsweise die gesetzlich verlangte Kommunikation mit den und der Schutz von Hinweisgebern, die Dokumentation der Schritte, Ergebnisse, Sanktionen und Verbesserungsmassnahmen.

Der zweite wichtige und zu beachtende Rechtsbereich ist das nationale Arbeitsrecht. Das Recht der Mitarbeitenden Meldungen intern oder extern abzugeben, sollte in die Arbeitsverträge aufgenommen werden. Ausserdem ist in einigen Ländern die Zustimmung des Betriebsrates erforderlich. In anderen Ländern müssen Arbeitnehmervertretungen konsultiert werden. Ist ein Europäische Betriebsrat vorhanden, muss dieser ebenfalls angehört werden.

Der dritte Rechtsbereich ist der Datenschutz. Hinweisgebersysteme verarbeiten regelmässig personenbezogene Daten. Neben den Daten des Meldenden können ausserdem personenbezogene Daten von betroffenen oder weiteren Personen gemeldet werden. Es können sogar besondere Kategorien von personenbezogenen Daten, wie beispielsweise religiöse Überzeugungen oder ethnische Herkunft enthalten sein. Den Umgang mit den Daten regelt die Richtlinie selbst leider nicht, sondern verweist auf das geltende Recht. Das führt dazu, dass viele Fragen zum Datenschutz offen bleiben. Teilweise bieten Empfehlungen Orientierung. Das sind beispielsweise in Deutschland die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz, vom 14.11.2018. Danach sind eine Datenschutzerklärung und eine entsprechende Kurznotiz zu erstellen (two-step-procedure). Hinzu kommt eine Aufnahme in das Verzeichnis der Datenverarbeitungen und eine Datenschutzfolgeabschätzung. Ausserdem kann ein Auftragsdatenverarbeitungsvertrag notwendig sein und eventuell müssen mehrere Gesellschaften ebenfalls untereinander eine Vereinbarung über den Umgang mit personenbezogenen Daten abschliessen. Wichtig ist auch die Dauer der Aufbewahrung und die Löschung bzw. Anonymisierung zu bestimmen.

Ausserdem ist darauf zu achten, dass bei jeder Verwendung der Daten im Ausland ein grenzüberschreitender Transfer personenbezogener Daten stattfindet. Ist der Datenempfänger in einem nicht sicheren Drittland, beispielsweise den USA, muss für zusätzliche Sicherheiten und Garantien gesorgt werden („Schrems II“).

Technische Umsetzung

Je nachdem für welche Kanäle und technischen Lösungen sich das Unternehmen entscheidet, müssen diese installiert und den eigenen Bedürfnissen angepasst werden. Eine Email-Adresse, notwendige Telefonnummern oder eine webbasierte Lösung müssen eingerichtet werden. Eventuell sind Texte und Formulare anzupassen und in verschiedene Sprachen zu übersetzen. Die Vertraulichkeit und Sicherheit sind jeweils sicher zu stellen.

Mit der internen IT ist die technische Lösung in die eigene IT-Umgebung zu implementieren. Auch mit einem Ombudsmann muss eine sichere Art der Kommunikation gefunden werden.

Prozessuale Umsetzung

Sind die notwendigen rechtlichen Dokumente für die Prozesse erstellt, sind die Personen zu bestimmen und zu instruieren, die die entsprechenden Aufgaben wahrnehmen. Zu definieren sind die Ansprechpersonen und Case Manager. Hilfreich kann auch eine Liste mit möglichen externen Beratern sein, die interne Untersuchungen durchführen. Im Fall der Fälle ist das Unternehmen dann schnell handlungsfähig.

Festzulegen ist auch, wie beispielsweise die Untersuchungsberichte aussehen und welche Berichte und Statistiken erstellt werden sollen. Eine gewisse Vereinheitlichung hilft der Vergleichbarkeit und dem Erkenntnisgewinn.

Die involvierten Personen müssen informiert und geschult werden bevor das System aufgeschaltet wird. Auch HR oder relevante Vorgesetze sollten in der Lage sein, Fragen zu beantworten sobald das System „live“ ist.

Ausrollen

Sind all diese Vorbereitungen abgeschlossen, geht es darum das System auszurollen und zu betreiben. Für den Roll out sind vier Punkte besonders wichtig.

Zu klären ist, wie ausgerollt werden soll, ob in Schritten, beispielsweise Länder oder Geschäftseinheiten nacheinander oder alles auf einmal (sog. big bang). Dann ist festzulegen, wann der Roll out zeitlich erfolgen soll. Der Roll out ist zudem mit entsprechenden Kommunikationsmassnahmen zu begleiten. Zu empfehlen ist eine Kommunikation durch das Topmanagement und entsprechende Massnahmen, um alle Mitarbeitenden und eventuelle Dritte zu erreichen. Wichtig ist zu zeigen, dass die Unternehmensleitung hinter dem System steht und die Bedeutung und das Anliegen dieses Meldesystems erklärt. Den Meldenden muss deutlich werden, dass ihre Meldung wichtig ist und sie geschützt werden. Für das Vertrauen in die neuen Meldewege ist es bedeutsam, dass authentisch kommuniziert wird und potentielle Hinweisgeber wissen, wo und wie sie das System erreichen können.

Bei der Kommunikation ist zu planen, welche Zielgruppe über welche Kanäle erreicht werden kann. Um den Umgang mit dem Meldesystem zu erläutern bietet sich eine Schulung an. Eventuell sind es Tonhall-Meetings, Plakate, Email-Kampagnen, Gadgets, Informationsseiten im Intranet, ein Quiz oder ein Beitrag in der Mitarbeiterzeitung. Auch relevante Dritte sind in die Kommunikation einzubeziehen. Für den jeweiligen Adressaten muss deshalb der am besten geeignete Meldekanal gefunden werden.

Sind diese Massnahmen vorbereitet und entschieden, kann das System ausgerollt und in Betrieb genommen werden.

Betreiben

Nun kann die eigentliche Arbeit mit der Meldestelle beginnen. Eingehende Meldungen werden beantwortet, plausibilisiert und gegebenenfalls untersucht. Sämtliche Fallbearbeitungsschritte müssen dokumentiert werden. Wichtig ist ausserdem mit dem Hinweisgeber fortlaufend zu kommunizieren und ihm, soweit es den Untersuchungszweck nicht gefährdet, die nächsten Schritte und das Ergebnis der Untersuchung mitzuteilen.

Neben der Bearbeitung der Fälle, muss aber auch das Meldesystem selbst weiterhin beliebt gemacht und Fragen beantwortet werden. Es gerät schnell wieder in Vergessenheit und eine echte Speak Up Kultur, wo sich Mitarbeitende und Dritte trauen, einen Verdacht zu melden, entsteht nicht über Nacht. Führungskräfte und Personen in Schlüsselpositionen müssen die Botschaft immer wieder glaubwürdig vermitteln.

Monitoren

Während das System betrieben wird, ist dessen Funktionsweise zu beobachten. Erzielt es die beabsichtigte Wirkung? Welche Meldungen erfolgen in welchen Kategorien? Ist das System und die Funktionsweise im Unternehmen bekannt? Wissen die Case Manager was zu tun ist? Wie steht es um das Benachteiligungsverbot? Sind Hinweisgeber tatsächlich ausreichend geschützt?

Es empfiehlt sich Kennzahlen (KPI) zu erarbeiten, um Veränderungen und deren Wirkung messen zu können. Feedbacks und Stichproben können ebenfalls sehr aufschlussreich sein. Mit Audits lässt sich feststellen, ob die Prozesse und Vorgaben eingehalten werden.

Besonders wichtig ist auch, dass sich die Unternehmensleitung und das Management in regelmässigen Abständen mit dem Meldesystem beschäftigen, mit den Statistiken auseinandersetzen und Verbesserungen einleiten (lessons learned).

Fazit

Das Implementieren des Meldesystems ist vielleicht nicht so einfach wie es auf den ersten Blick erscheinen mag, aber auch kein Hexenwerk. Es ist ein interdisziplinäres Projekt, das mehr als juristisches know how verlangt. In internationalen Konzernen erschweren die verschiedenen länderspezifischen Vorgaben eine gruppenweite Lösung, so dass nach einem „Mindestkompromiss“ gesucht oder Einzellösungen umgesetzt werden müssen.

Es wäre wohl nicht realistisch mit der „perfekten“ Umsetzung starten zu wollen. Der unperfekte erste Schritt ist perfekt genug. Wichtig ist es einen Anfang zu machen und mit Prozessen zu starten, die fortlaufend verbessert werden.

Dieser Überblick soll Sie dabei unterstützen das Ziel und den Weg zu sehen, damit Sie diesen ersten Schritt erfolgreich machen können.