Startseite > Security > "Die Tücke steckt oft im Detail“

Whistleblowing-Richtlinie

"Die Tücke steckt oft im Detail“

17. Mai 2021, 9:23 Uhr | Interview: Diana Künstler

Fortsetzung des Artikels von Teil 1

Hinweisgebersystem ist nur ein Baustein im Compliance-Baukasten

funkschau: Wo liegen hier gegebenenfalls die größten Stolpersteine, mit denen Unternehmen rechnen müssen? Ich denke da beispielsweise an die noch relativ kurze Umsetzungszeit in deutsches Recht bis zum 17. Dezember 2021 oder die Frage nach den sich ergebenden Problemen für Unternehmen, die in mehreren EU-Ländern aktiv sind und die mit ihrem Hinweisgebersystem mitunter einem gesetzlichen Flickenteppich ausgesetzt sind.

Leisering: Ja, es gibt tatsächlich noch viele offene Fragen, die zum Teil vom nationalen Gesetzgeber beantwortet werden müssen, zum Teil aber auch in der Verantwortung der Unternehmen, Verwaltungen und Gemeinden liegen – denn für die gilt die Richtlinie ebenfalls. Sicher ist es hilfreich, sich frühzeitig damit auseinanderzusetzen, um gut vorbereitet in die Umsetzung zu gehen. Viel vom Erfolg oder Misserfolg hängt von der Kommunikation innerhalb der Organisation ab. Das sollte ebenfalls sorgsam durchdacht sein. Insgesamt zeigt sich, dass es kein ganz einfaches Thema ist, insbesondere, wenn man Missbrauch verhindern und die Auslegung gut durchdenken will. Es gibt kein universelles Konzept, das auf jede Organisation anwendbar ist. Die Tücke steckt hier oft im Detail.

funkschau: Inwiefern unterstützt Business Keeper Unternehmen beim Handling der Richtlinie?

Leisering: Speziell für die Anforderungen von kleineren und mittleren Unternehmen haben wir vor Kurzem ein neues Produkt gelauncht: "BKMS Incident Reporting Essentials", ein Self-Service-Produkt. Innerhalb weniger Minuten können Unternehmen auf unserer Website ihr Whistleblowing-System eigenständig konfigurieren und einrichten. Bis jetzt ist es das einzige Produkt dieser Art, bei anderen Systemen und Anbietern müssen Experten die Einrichtung übernehmen. Dadurch können wir das System auch kostengünstig anbieten: Ab 99 Euro im Monat können sich Unternehmen bei uns ihr eigenes Hinweisgebersystem zusammenstellen. Die Inhalte unseres Systems sind doppelt verschlüsselt: Falls ein verschlüsseltes System gehackt werden sollte, sind die sensiblen Inhalte weiterhin geschützt. Weder wir, noch andere Parteien haben Zugriff auf die Daten unserer Kunden: So können auch nicht die Polizei und andere Strafverfolgungsbehörden die Meldungen einsehen. Außerdem verwenden wir für die Speicherung unserer Kundendaten keine Cloud-basierten Lösungen, sondern dedizierte Rechenzentren, was eine größere Sicherheit gewährleistet. Zudem führen wir jährlich manuelle Penetrationstests durch, um Sicherheitslücken zu erkennen und direkt zu schließen.

funkschau: Worauf sollten Unternehmen bei der Suche nach dem passenden Anbieter besonderes Augenmerk legen?

Leisering: Wie bereits erwähnt, sollten sich Unternehmen und Organisationen bei der Wahl eines Hinweisgebersystems gründlich informieren. So sollte auf die angebotenen Kanäle und die Möglichkeit einer dialogen Kommunikation geachtet werden: Anders bei einem aufgezeichneten Anruf oder einem Brief können die BearbeiterInnen mit den Hinweisgebenden in Kontakt treten und gezielt nach weiteren Informationen oder Beweisen fragen, sodass der Fall bestmöglich und schnell bearbeitet werden kann. Die ausgewiesenen Zertifizierungen sind ein weiterer Anhaltspunkt, nach dem sich Unternehmen richten können. Unsere gesamte Plattform und die Rechenzentren sind beispielsweise ISO-27001-zertifiziert, bei anderen Anbietern beinhaltet das nur die Datenspeicherung. Daneben ist unser System mit dem europäischen Datenschutzrecht konform, welches das "European Privacy Seal" bescheinigt.

funkschau: Welche Rolle spielt Ihrer Meinung nach ein Hinweisgebersystem im Rahmen einer übergeordneten Compliance-Strategie?

Leisering: Tatsächlich ist das Hinweisgebersystem nur ein Element im Baukasten der Compliance-Bausteine. Es zählen eine Reihe weiterer wichtiger Elemente dazu. Häufig wird das Bild des „ehrbaren Kaufmannes“ gewählt, der sich hinter allen Compliance-Bemühungen verbirgt. In heterogen und international geprägten Organisationen ist dieses Bild aber oft nicht einfach vermittelbar. Deshalb braucht es Regeln, die die Organisation sich selbst vorgibt. Diese Regeln müssen vermittelt, regelmäßig überprüft und von Zeit zu Zeit weiterentwickelt werden. Gleichzeitig muss klar sein, dass Verstöße geahndet werden, was einheitlich und regelmäßig kommuniziert werden muss. Das sind die Grundelemente einer Compliance-Strategie.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Umsetzung in deutsches Recht
Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat im März 2021 einen Referentenentwurf zum Hinweisgeberschutzgesetz (HinSchG) veröffentlicht, um die EU-Whistleblowing-Richtlinie in deutsches Recht umzusetzen. Das deutsche Hinweisgeberschutzgesetz hat einen weit gefassten Anwendungsbereich: Es deckt Rechtsverstöße, insbesondere gegen das gesamte Strafrecht und das Gesetz über Ordnungswidrigkeiten (OWiG), ab. Verstößt zum Beispiel ein Unternehmen gegen den Datenschutz (DSGVO), sollen hinweisgebende Personen einen umfassenden Schutz erhalten. Im Falle, dass ein Hinweisgeber einen Betrug aufdeckt – wie den Cum-Ex- oder den Wirecard-Skandal – würde die Person nach der EU-Richtlinie nicht vor Repressalien geschützt werden. Diese Lücke soll somit das deutsche Gesetz schließen. Wie das neue Hinweisgeberschutzgesetz (HinSchG) tatsächlich aussehen wird, ist noch nicht bekannt, denn der Entwurf ist nicht öffentlich und befindet sich derzeit – Ende März 2021 – in der regierungsinternen Abstimmung. Auch ist nicht klar, wann der Gesetzesentwurf verabschiedet werden kann. Noch gibt es zu viele Streitpunkte zwischen den Ministerien. Wesentliche Meinungsverschiedenheiten seien beispielsweise, nach Erkenntnissen der „Süddeutschen Zeitung“, die Ausweitung auf deutsches Recht und der damit vermeintlich verbundene große Umsetzungsaufwand für die hiesige Wirtschaft. Dem entgegen stünde, dass viele große Unternehmen und Konzerne längst Hinweisgebersysteme betreiben und Erfahrung damit hätten, wie mit Meldungen umzugehen sei. Schließlich ist die EU-Richtlinie bereits seit Dezember 2019 in Kraft. Für die kleineren unter den Unternehmen, jene mit 50 bis 249 Mitarbeitern, sehe der Gesetzesentwurf zudem eine Übergangsregelung bis 2023 vor. „Der Aufwand für Unternehmen ist kein Argument für eine widersprüchliche Schmalspur-lösung“, sagt Justizministerin Christine Lambrecht (SPD). „Denn vor allem ein unklares Gesetz würde für großen Aufwand und große rechtliche Risiken sorgen.“ Auch die Meldestellen seien, so die „Süddeutsche Zeitung“ vom 24. März, ein Reizthema. So fordere die Bundesvereinigung der Arbeitgeberverbände (BDA), der innerbetriebliche Beschwerdeweg solle Vorrang haben und verweist auf das deutsche Arbeitsrecht: Dort bestehe ein „gut austariertes System zum Schutz von Personen, die in zulässiger Weise ihre Rechte ausüben“. Der Verein Whistleblower-Netzwerk widerspricht und weist darauf hin, dass eine solche Forderung der EU-Richtlinie schlicht zuwiderlaufen würde.

Umsetzung in deutsches Recht

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat im März 2021 einen Referentenentwurf zum Hinweisgeberschutzgesetz (HinSchG) veröffentlicht, um die EU-Whistleblowing-Richtlinie in deutsches Recht umzusetzen.
Das deutsche Hinweisgeberschutzgesetz hat einen weit gefassten Anwendungsbereich: Es deckt Rechtsverstöße, insbesondere gegen das gesamte Strafrecht und das Gesetz über Ordnungswidrigkeiten (OWiG), ab. Verstößt zum Beispiel ein Unternehmen gegen den Datenschutz (DSGVO), sollen hinweisgebende Personen einen umfassenden Schutz erhalten. Im Falle, dass ein Hinweisgeber einen Betrug aufdeckt – wie den Cum-Ex- oder den Wirecard-Skandal – würde die Person nach der EU-Richtlinie nicht vor Repressalien geschützt werden. Diese Lücke soll somit das deutsche Gesetz schließen. Wie das neue Hinweisgeberschutzgesetz (HinSchG) tatsächlich aussehen wird, ist noch nicht bekannt, denn der Entwurf ist nicht öffentlich und befindet sich derzeit – Ende März 2021 – in der regierungsinternen Abstimmung. Auch ist nicht klar, wann der Gesetzesentwurf verabschiedet werden kann. Noch gibt es zu viele Streitpunkte zwischen den Ministerien. Wesentliche Meinungsverschiedenheiten seien beispielsweise, nach Erkenntnissen der „Süddeutschen Zeitung“, die Ausweitung auf deutsches Recht und der damit vermeintlich verbundene große Umsetzungsaufwand für die hiesige Wirtschaft. Dem entgegen stünde, dass viele große Unternehmen und Konzerne längst Hinweisgebersysteme betreiben und Erfahrung damit hätten, wie mit Meldungen umzugehen sei. Schließlich ist die EU-Richtlinie bereits seit Dezember 2019 in Kraft. Für die kleineren unter den Unternehmen, jene mit 50 bis 249 Mitarbeitern, sehe der Gesetzesentwurf zudem eine Übergangsregelung bis 2023 vor. „Der Aufwand für Unternehmen ist kein Argument für eine widersprüchliche Schmalspur-lösung“, sagt Justizministerin Christine Lambrecht (SPD). „Denn vor allem ein unklares Gesetz würde für großen Aufwand und große rechtliche Risiken sorgen.“ Auch die Meldestellen seien, so die „Süddeutsche Zeitung“ vom 24. März, ein Reizthema. So fordere die Bundesvereinigung der Arbeitgeberverbände (BDA), der innerbetriebliche Beschwerdeweg solle Vorrang haben und verweist auf das deutsche Arbeitsrecht: Dort bestehe ein „gut austariertes System zum Schutz von Personen, die in zulässiger Weise ihre Rechte ausüben“. Der Verein Whistleblower-Netzwerk widerspricht und weist darauf hin, dass eine solche Forderung der EU-Richtlinie schlicht zuwiderlaufen würde.