Einführung einer Whistle­blower-Software: Ein Leitfaden für mittelständische Unternehmen

Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen mit mindestens 50 Beschäftigten seit dem 17. Dezember 2023 zur Einführung und zum Betrieb einer internen Meldestelle für Hinweisgeber.

Die Unabhängigkeit der Meldestelleverantwortlichen muss gewährleistet werden
Ein besonderes Augenmerk ist darauf zu legen, dass die mit den Aufgaben einer Meldestelle beauftragten Personen in der Ausübung ihrer Tätigkeit unabhängig sind. Zwar dürfen sie neben ihrer Tätigkeit für die interne Meldestelle auch andere Aufgaben wahrnehmen, es muss jedoch jederzeit sichergestellt sein, dass diese nicht zu Interessenkonflikten führen.

Eine Meldestellen-Software unterstützt mittelständische Unternehmen in der effektiven Umsetzung des Gesetzes
Die Software sollte benutzerfreundlich sein, damit sie es hinweisgebenden Personen erleichtert, Verstöße zu melden. Die Software sollte dabei die Abgabe von Meldungen über unterschiedliche Kommunikationswege ermöglichen. Der Gesetzgeber fordert die Abgabe von Meldungen:

  • Mündlich, z. B. durch den Upload einer Sprachmitteilung oder über eine telefonische Hotline
  • Schriftlich, durch Abgabe eines Textes; die Software sollte auch die Funktion des Uploads von Dokumenten ermöglichen
  • Persönlich, hinweisgebende Personen haben das Recht, sich persönlich mit der für die Meldestelle zuständigen Person zu treffen

Darüber hinaus ist es für die Akzeptanz der Meldestelle wichtig, ein System anzubieten, das auch die anonyme Hinweisabgabe ermöglicht.

Da mittelständische Unternehmen unterschiedliche Anforderungen an ihre Meldestelle haben, ist es wichtig, dass die IT-gestützte Meldestelle individuell an die spezifischen Bedürfnisse des Unternehmens angepasst werden kann. Dies betrifft u. a. die farbliche Gestaltung entsprechend der jeweiligen CI des Unternehmens, die Anpassung von Texten an die Unternehmenskultur, die Einführung von Meldekategorien und die Benachrichtigungseinstellungen bzw. Berichtsfunktionen.

Vertraulichkeit und Unabhängigkeit ist essenziell für den erfolgreichen Betrieb der internen Meldestelle
Beim Betrieb der Meldestelle ist vor allem die Vertraulichkeit der Daten der hinweisgebenden Person zu schützen. Bei der Auswahl der Software sollte daher auf Folgendes unbedingt geachtet werden:

  • Vertraulichkeit der Meldungen schützen
  • Einschränkung von sensiblen Informationen
  • Speicherung der Daten auf zertifizierten, sicheren und kontinuierlich überprüften Cloud-Umgebungen in Deutschland
  • Möglichkeit der Nutzung der Software ohne Systemintegration

Die Unabhängigkeit, die eine solche Software bietet, ist auch für die Geschäftsführung von großer Bedeutung, da sie so einen Einblick in mögliche Fehlentwicklungen im Unternehmen  erhält, ohne direkt involviert zu sein. Auch in einem mittelständischen Unternehmen kann die Geschäftsführung nicht in alle Prozesse eingebunden sein und ist daher regelmäßig auf Hinweise angewiesen. Auf diese Weise können Fehlentwicklungen in Unternehmen frühzeitig erkannt und beseitigt werden, um öffentliche Reputationsschäden und daraus resultierende Umsatzeinbußen zu vermeiden.

Der Personenkreis, der Zugriff auf die abgegebenen Hinweise hat, muss begrenzt und speziell geschult sein.

Nicht gesetzlich gefordert – aber zu empfehlen – ist die Einrichtung eines Systems, welches es auch ermöglicht, Hinweise anonym abzugeben. Gerade in mittelständischen Unternehmen kann die Möglichkeit zur anonymen Abgabe von Hinweisen dafür sorgen, dass bestimmte Hinweise doch abgegeben werden, die ansonsten verschwiegen worden wären.

Die Auslagerung an einen externen Dritten stärkt das Vertrauen in die Meldestelle
Die Auslagerung an einen externen Dritten schafft Vertrauen, weil dieser keinerlei Rückschlüsse auf die hinweisgebende Person ziehen kann. Ist dieser Dritte eine Rechtsanwältin oder ein Rechtsanwalt, ist er darüber hinaus sogar zur Verschwiegenheit verpflichtet, was nochmals für mehr Vertrauen sorgt.

Neben der Vertraulichkeit und Unabhängigkeit ist die Auslagerung an einen externen Dritten darüber hinaus auch wirtschaftlich interessant.

Integration in bereits vorhandene Compliance-Management-Systeme
Auch Unternehmen, die bereits ein Compliance-Management-System im Unternehmen etabliert haben, sind verpflichtet, eine interne Meldestelle nach dem HinSchG zu implementieren.

Allerdings können Unternehmen für die Einrichtung Kosten sparen, wenn sie bestehende Systeme nur anpassen müssen.
Dennoch müssen sie für die rechtliche Beratung und Unterstützung bei der Konzeption eines Hinweisgebersystems, die Erstellung der erforderlichen Richtlinien und Prozessabläufe, die Unterstützung bei der Implementierung und Kommunikation, die datenschutzkonforme Ausgestaltung sowie die Schulung der Mitarbeitenden der Meldestelle Kapazitäten vorhalten. Auch hier kann daher unter Umständen eine Auslagerung der Meldestelle sinnvoll sein.

Unterstützung und Schulungen
Sollte mit einem IT-gestützten Hinweisgebersystem gearbeitet werden, ist es wichtig, dass der Anbieter der Software Unterstützung und Schulungen im Rahmen der Implementierung anbietet. Zum einen um sicherzustellen, dass das Unternehmen die Software effektiv nutzen kann, zum anderen weil die Beschäftigungsgeber laut Gesetz dafür sorgen müssen, dass die mit den Aufgaben einer internen Meldestelle betrauten Personen über die notwendige Fachkunde verfügen.

Darüber hinaus ist es auch wichtig, dass die Personen, die für die Meldestelle zuständig sind, regelmäßig inhaltliche Schulungen zum Betrieb einer internen Meldestelle und dem Hinweisgeberschutzgesetz wahrnehmen.

Betrieb einer gemeinsamen Meldestelle
Mehrere private Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten können für die Entgegennahme von Hinweisen und für die weiteren Maßnahmen nach diesem Gesetz auch eine gemeinsame Stelle einrichten und betreiben (vgl. § 14 Abs. 2 HinSchG). Auch hier bietet sich die Auslagerung an einen Dritten an, um insbesondere die Weitergabe von Geschäftsgeheimnissen an Konkurrenzunternehmen zu vermeiden, soweit diese durch die Meldung eines Verstoßes offenbart würden. Nach dem konzernrechtlichen Trennungsprinzip ist es auch möglich, eine unabhängige und vertrauliche Stelle bei anderen Konzernunternehmen (z.B. Mutter- oder Tochtergesellschaft) als „Drittem“ einzurichten, die auch für mehrere selbstständige Unternehmen im Konzern tätig werden kann.

Bei eagle lsp können Unternehmen ihre interne Meldestelle an Rechtsanwältinnen und Rechtsanwälte auslagern
Die Auslagerung der internen Meldestelle an einen Dienstleister wie eagle lsp ist sowohl kosteneffizient als auch rechtskonform. Die Rechtsanwältinnen und Rechtsanwälte (teilweise mit TÜV-zertifizierter Compliance Officer Schulung) verfügen über das technische Know-how und die juristische Expertise, um eine Meldestelle rechtskonform zu installieren und zu betreiben. Darüber hinaus bietet die Auslagerung die nötige Unabhängigkeit und schafft damit Vertrauen in den Meldestellen-Service und das Verfahren.

Sie haben noch keine interne Meldestelleimplementiert? Dann sollten wir sprechen!

Stand: 16.01.2024