Warum Whistleblowing nicht gleich Whistleblowing ist

Bereits im Oktober 2019 verabschiedete die Europäische Union die sogenannte “EU-Whistleblower-Richtlinie”. Ziel war und ist es, Hinweisgeber zu schützen, die auf Unternehmens-interne Missstände hinweisen. In erster Linie betrifft das Verstöße gegen europäisches Reicht, beispielsweise in den Bereichen Datenschutz, IT-Sicherheit und Geldwäsche. Die deutsche  Bundesregierung hat bei der Umsetzung die Möglichkeit, die Richtlinie auf nationale Rechtsbereiche zu erweitern und anzupassen. Die aktuelle Koalition hat diese Absicht in ihrem Koalitionsvertrag bekräftigt.

Die EU reagiert damit auf eine wichtige Veränderung in der Wahrnehmung von Hinweisgebern. Zahlreiche medienwirksame Skandale haben dazu geführt, dass sich die gesellschaftliche Einstellung gegenüber Whistleblowern wandelt. Immer mehr Behörden, Organisationen und Unternehmen etablieren Hinweisgebersysteme und schaffen so die Basis für eine transparentere Fehlerkultur.

Auf dem Weg zu mehr Rechtssicherheit für Whistleblower ist die Gleichrangigkeit der Meldewege Bestandteil der Richtlinie. Hinweisgeber können sich seither entscheiden, ob sie den Verstoß einer internen oder direkt einer externe Stelle melden. Um externen Meldungen vorzubeugen, sollten Unternehmen, sofern noch nicht geschehen, interne Hinweisgebersysteme einführen, die die Identität der Whistleblower schützen.

Viele Whistleblower stehen ihren Arbeitgebern sehr loyal gegenüber. Da sie nicht das Ziel verfolgen, das eigene Unternehmen öffentlich an den Pranger zu stellen, wenden sich die wenigstens Whistleblower direkt an externe Stellen. Häufig werden Meldungen intern eingereicht, beispielsweise durch ein Gespräch mit Vorgesetzten, Ombudspersonen oder über eingerichtete Meldestellen. Doch wenn bei internen Meldungen nicht gehandelt wird oder der Vorgesetzte sogar in die (illegalen) Machenschaften verwickelt ist, sehen sich viele Mitarbeitende gezwungen, einen Schritt weiter zu gehen und das Vergehen an eine externe Stelle zu melden.

Extern ist nicht gleich öffentlich

Im öffentlichen Diskurs werden die Begrifflichkeiten oft vermischt, doch es gibt einen signifikanten Unterschied zwischen externem und öffentlichem Whistleblowing. Wenn Vergehen an externe Meldestellen, wie beispielsweise die Staatsanwaltschaft oder entsprechende Aufsichtsbehörden, berichtet werden, spricht man von externem Whistleblowing. Zwar wurde der Hinweis an eine externe Stelle weitergereicht, doch die Öffentlichkeit weiß weiterhin nichts von den Vergehen oder den Anschuldigungen gegen das Unternehmen. 

Bisher durfte man sich nur in Ausnahmefällen an externe Stellen wenden, beispielsweise dann, wenn Vorgesetzte direkt involviert und damit nicht als Ansprechpartner zur Verfügung standen. Die EU-Hinweisgeber-Richtlinie hat das geändert. Sie gibt vor, dass Hinweisgeber die Wahl haben, ob sie ein Vergehen internen oder externen Stellen melden – unabhängig davon, ob die Weste des Vorgesetzten noch weiß ist oder schon so wie Gips aussieht. 

Einen Schritt weiter geht das öffentliche Whistleblowing. Hier wendet sich der Meldende direkt an die Öffentlichkeit und gibt die Missstände an Medienvertreter oder an Leaking-Plattformen weiter. Für das öffentliche Whistleblowing gelten auch mit der neuen Richtlinie weiterhin Einschränkungen. Hinweisgeber dürfen sich beispielsweise nur dann an die Medien wenn, wenn das öffentliche Interesse bedroht ist oder aber, wenn die geltende First für Rückmeldungen der internen Stelle von drei Monaten nicht eingehalten wurde. 

Wenn Vorwürfe und Verstöße publik werden, bedeutet das für Unternehmen nicht nur rechtliche Konsequenzen und finanzielle Strafen – auch die Reputation kann langfristig geschädigt werden. Und für den Whistleblower selbst bedeutet es in vielen Fällen den Verlust des Arbeitsplatzes.

Hotline, E-Mail oder Formular

Für Organisationen ist es spätestens seit der Einführung der Richtlinie extrem wichtig, sichere interne Meldesysteme zu etablieren und diese entsprechend transparent an ihre Mitarbeitenden zu kommunizieren. Das können beispielsweise eine Telefonhotline oder ein zentraler E-Mail-Kontakt sein. Dabei müssen die Meldestellen gewissen Anforderungen entsprechen, die Unternehmen stellenweise vor große Herausforderungen stellen. Eine Hotline muss beispielsweise rund um die Uhr und ohne sprachliche Barrieren erreichbar sein. Und wer am anderen Ende sitzt, darf den Anrufenden am besten auch nicht an der Stimme erkennen.

Auch bei einer zentralen E-Mail-Adresse (z.B. whistleblowing@firmenname.de) ist die Anonymität der Hinweisgeber nur schwer zu wahren – immerhin kann man nicht davon ausgehen, dass sich jeder erstmal eine neutrale E-Mail-Adresse anlegt, bevor er einen Hinweis abgibt. 

Die Einrichtung eines IT-geschützten Hinweisgebersystems, beispielsweise in Form eines Formulars, kann eine verschlüsselte Kommunikation zwischen Hinweisgeber und Fallbearbeiter sicherstellen und die Anonymität des Whistleblowers garantieren

Hinweisgebersysteme für mehr Sicherheit auf beiden Seiten

Laut EU-Whistleblower-Richtlinie besteht für Unternehmen zwar keine Pflicht, Meldungen anonym entgegen zu nehmen, doch gleichzeitig dürfen dem Mitarbeitenden keine Nachteile entstehen, wenn er Hinweise gegen firmeninterne Verstöße einreicht – schwierig, wenn das direkte Gespräch mit dem Vorgesetzten oder auch einer internen Ombudsperson gesucht wird und die Identität des Hinweisgebers damit offengelegt wurde. 

Aus Angst vor Konsequenzen wollen viele Hinweisgeber ihre Identität schützen. Deswegen sollten Meldesysteme die Möglichkeit bieten, Hinweise anonym einzureichen und die Identität der Meldenden entsprechend zu schützen. Besteht diese Möglichkeit nicht, ist die Wahrscheinlichkeit höher, dass sich Mitarbeitende direkt an externe Meldestellen wenden. 

Die Einrichtung eines sicheren Meldesystems ist eine Chance für Unternehmen, eine positive, transparente und faire Fehlerkultur zu etablieren. So werden sie frühzeitig über Missstände im eigenen Unternehmen aufmerksam gemacht und schützen gleichzeitig die Identität ihrer Mitarbeitenden.

Bild: https://shutterstock.com/de/g/devonyu

Sie suchen nach einem datenschutzkonformen Hinweisgebersystem?
Gerne beraten wir Sie in einem persönlichen Gespräch.