Whistleblowing – so setzen Sie die EU-Richtlinie um

Edward Snowdon – diesen Namen verbindet wohl jeder mit Whistleblowing. Snowdon hatte seinerzeit die Machenschaften der NSA offengelegt und dadurch ungewollte Berühmtheit erlangt. Denn eigentlich soll, wer auf Missstände wie etwa Diskriminierung, sexuelle Belästigung, kartellrechtlich oder strafrechtlich relevante Machenschaften Hinweise gibt, anonym bleiben können, so will es die Gesetzgebung.

Gemäß der EU-Whistleblower-Richtlinie, die zum 16.12.2019 beschlossen wurde und bis zum 17.12.2021 national umgesetzt werden muss, werden Unternehmen mit mehr als 50 Mitarbeitern (Nationalstaaten können die Schwelle jedoch auf bis zu 250 Mitarbeiter anheben) sowie Behörden und Kommunen mit mehr als 10.000 Einwohnern dazu verpflichtet, Kanäle einzurichten, über die Verstöße gegen nationales und EU-Recht gemeldet werden können. Grundlegendes Ziel der Richtlinie ist es, die Aufdeckung und Unterbindung von Verstößen zu forcieren, gleichzeitig jedoch auch den Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte/Vermittler, die bei der Meldung unterstützen, besser zu schützen, sodass für diese keine negativen zivil-, straf- oder verwaltungsrechtlichen oder internen Konsequenzen als Folge der Meldung zu befürchten sind (Whistleblowing).

Im Wesentlichen lässt sich das Meldeverfahren in drei Stufen unterteilen:

  • Interne Meldung.
  • Meldung an die zuständige Behörde.
  • Meldung an die Öffentlichkeit.

Der Hinweisgeber ist nicht zur Einhaltung dieser Hierarchie verpflichtet, jedoch wird empfohlen, zunächst die internen Kanäle der Organisation zu nutzen, bevor auf die Kanäle der externen Behörde oder gar die öffentlichen Medien zurückgegriffen wird.

Mögliche Meldekanäle gemäß EU-Whistleblower-RL

Gemäß Artikel 9 der „Richtlinie (EU) 2019/1937 des europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher (physische Zusammenkunft) Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form. Es muss jedoch nicht befugten Mitarbeitern der Zugriff darauf verwehrt bleiben.

Nebst diesen Anforderungen muss die stete Vertraulichkeit der Identität des Meldenden gewährleistet werden und eine Eingangsbestätigung des Hinweises nach spätestens sieben Tagen erteilt werden.

Die Richtlinie schlägt im Wesentlichen drei Varianten der Umsetzung vor:

  • Einrichtung einer telefonischen, für den Anrufer kostenlosen Hotline:
    Da die Meldung zu jeder Zeit möglich sein muss, muss bei einer persönlichen Hotline sichergestellt werden, dass diese permanent besetzt ist und sich keine sprachlichen Barrieren ergeben. Die Ombudsperson, die den Anruf in diesem Fall entgegennimmt, ist zur Wahrheit verpflichtet, muss laut Bundesverfassungsgericht (Beschluss v. 27.6.2018, 2 BvR 1405/17) jedoch kein Anwalt sein. Alternativ besteht die Möglichkeit einer automatischen Voicebox, auf der die Meldung aufgenommen und für eine angemessene Dauer aufbewahrt werden kann.
  • Persönliche/Physische Zusammenkunft:
    Wünscht der Hinweisgeber eine persönliche physische Zusammenkunft mit einem Ansprechpartner, muss dies ermöglicht werden. Da der Hinweisempfänger jedoch den Meldenden in der Regel nicht persönlich kennt, dürfte sich diese Hinweisübermittlung in der Praxis erwartungsgemäß schwierig gestalten.
  • Einrichtung eines IT-gestützten Hinweisgebersystems:
    Die Einrichtung eines IT-gestützten Hinweisgebersystems ermöglicht eine anonyme, verschlüsselte Kommunikation zwischen Hinweisgeber und Fallbearbeiter, die zu jeder Tages- und Nachtzeit stattfinden kann. Wenn die IP-Adresse des Meldenden bei einem derartigen System nicht gespeichert wird, ist dessen Identifizierung nicht möglich.

Interne Lösungen können gegen EU-Whistleblower-Richtlinie verstoßen

Intuitiv wird wohl seitens der Organisationen zunächst eine interne und kostenneutrale Lösung angestrebt. Werden die genannten Meldekanäle jedoch vor dem Hintergrund der Anforderungen der Richtlinie betrachtet, stößt man auf Divergenzen: Mag die Einrichtung einer internen E-Mail-Adresse oder Telefonnummer für die anonyme Meldung von Hinweisen vielleicht noch umsetzbar sein, so kann nicht garantiert werden, dass der IT-Verantwortliche der Organisation mit seinen administrativen Rechten nicht in das System eingreifen kann. Dies widerspricht jedoch dem Gebot der Richtlinie, dass nicht befugte Mitarbeiter keinen Zugriff auf das System bzw. die übermittelten Meldungen haben dürfen.

Demzufolge verbleibt an dieser Stelle vorgeblich lediglich die Einrichtung einer für den Anrufer kostenlosen externen Nummer (wie z. B. das „freecall 0800 Smart“-Angebot der Telekom), wobei der Anruf entweder auf einer Voicebox aufgenommen oder von einer Ombudsperson entgegengenommen wird.

Doch auch hier lässt sich eine Unvereinbarkeit mit den Forderungen der Richtlinie feststellen: Spricht der anonyme Hinweisgeber seine Meldung auf eine Voicebox, so kann diesem keine Eingangsbestätigung des Hinweises erteilt werden.

Faktisch verbleiben also lediglich zwei Optionen: Die Einrichtung eines IT-gestützten Systems oder die Entgegennahme des Hinweises durch eine Ombudsperson. Der unter Umständen dennoch abträgliche Faktor hinsichtlich der Ombudsperson: Die Kosten. Eine permanent per Telefon erreichbare Ombudsperson, die alle für die Organisation relevanten Sprachen bedienen kann und sogar noch verschiedene Zeitzonen abdeckt, kann durchaus nicht unerhebliche Kosten verursachen.

IT-gestütztes Hinweisgebersystem: Prädestiniert für die FTAPI Secuforms

Über die FTAPI SecuForms lässt sich der Prozess einfach, sicher und strukturiert abbilden. Durch die individuell konfigurierbaren Felder können alle relevanten Angaben abgefragt werden. Alle Daten des Tippgebers werden anschließend datenschutzkonform an den hinterlegten Empfänger im Unternehmen übertragen werden – Ende-zu-Ende-verschlüsselt. Nach dem Zero-Knowledge-Prinzip ist somit sicher gestellt, dass niemand anderes im Unternehmen (oder von außerhalb) Zugriff darauf hat.

Sensible Daten sicher und einfach übermitteln

Mit FTAPI schützen Sie sensible Daten und Geschäftsgeheimnisse – einfach und sicher

Prozesse automatisieren - einfach und sicher