Was ist ein Hinweisgebersystem?

Wer beruflich mit Compliance zu tun hat, kommt um den Begriff des Hinweisgebersystems nicht herum. Lesen sie hier, was das genau bedeutet.

Christian Hasewinkel
Auf einen Blick

Immer wieder neue Wirtschaftsskandale sorgen dafür, dass sich das Thema „Whistleblowing“ in den Nachrichten hält und der Gesetzgeber weitere Regulierungen vorantreibt – zuletzt die EU-Whistleblowing-Richtlinie, die in Deutschland im Juli 2023 als Hinweisgeberschutzgesetz in Kraft getreten ist. Österreich hat die EU-Richtlinie ebenfalls in Form des HinweisgeberInnenschutzgesetz umgesetzt. Auch das deutsche Lieferkettengesetz verpflichtet betroffene Unternehmen dazu, ein sogenanntes „Beschwerdeverfahren“ einzusetzen. In diesem Zusammenhang tauchen die Begriffe Whistleblowing-System, Hinweisgebersystem, Melde- oder Beschwerdesystem häufig auf. Doch was  bedeuten sie genau und welche Meldekanäle lässt der Gesetzgeber zu? Wer ist zur Einrichtung dieser Systeme verpflichtet und wie können sie zu einem effektiven Compliance Management beitragen? Wir beantworten alle Fragen rund um das Hinweisgebersystem.

Alles Wichtige zum Hinweisgebersystem

Die Key Facts in Kürze

Hinweisgebersystem: Die Definition

Die allgemeine Definition lautet: „Der Ausdruck Hinweisgebersystem bezeichnet ein System zum Gewinnen von Informationen, das Ermittler in Unternehmen und Verwaltungen einsetzen, um ihren Mitarbeitern und auch Personen des Umfeldes einen vertraulichen Kommunikationskanal zu eröffnen. Dieser kann von ihnen – das betrifft auch Whistleblower – zum Melden möglicher Straftaten und Ethikverstöße genutzt werden.“ (vgl. Schemmel/Ruhmanseder/Witzigmann: Hinweisgebersysteme, C.F. Müller, Heidelberg 2012) 

Demzufolge können mittels eines Hinweisgebersystems Whistleblower bzw. Hinweisgebende – beispielsweise Beschäftigte eines Unternehmens bzw. einer Organisation, Lieferanten oder einfache Bürgerinnen und Bürger – anonyme Hinweise über beobachtete Missstände oder Regelverstöße melden, ohne Angst vor negativen Konsequenzen haben zu müssen. Hinweisgebende müssen sich also nicht vor Kündigung, Diskriminierung am Arbeitsplatz, Einschüchterung oder einer Versetzung fürchten.

Dabei können Hinweisgebersysteme unterschiedliche Meldekanäle enthalten, darunter Briefkästen, Sprachbasierte Systeme wie zum Beispiel Telefonhotlines, interne oder externe Ombudsleute, digitale Hinweisgebersysteme oder kombinierte Systeme zur sicheren Kommunikation von Missständen.

Briefkasten

Auf den ersten Blick sind alle oben angeführten Systeme in der Lage, eine vertrauliche Meldungsabgabe zu gewährleisten. Bei einem genaueren Hinsehen werden jedoch Unterschiede deutlich: So kann ein Brief zwar flexibel von fast jedem Ort der Welt versendet werden, erreicht aber nicht immer die zuständige Person. Werden die internen Hinweise dabei anonym verfasst, bleibt zudem die Möglichkeit einer Kommunikation versperrt, um Rückfragen zur Klärung des beschriebenen Vorfalls zu stellen.

Whistleblowing Hotline: Sprachbasierte Hinweisgebersysteme

Einen weiteren Kommunikationskanal stellt eine sprachbasierte Lösung dar, entweder eine von Menschen betreute Anwendung oder ein Anrufbeantwortersystem. Um jedoch eine Erreichbarkeit rund um die Uhr bereitstellen zu können, mitunter auch in mehreren Sprachen, ist ein hoher personeller Aufwand erforderlich, der mit entsprechenden Kosten einhergeht. Bei Anrufbeantwortersystemen können wiederum keine Rückfragen gestellt werden. Zudem erfolgt die Reaktion auf eine Meldung stets mit einer zeitlichen Verzögerung. Isolierte Lösungen genießen darüber hinaus wenig Vertrauen in Hinblick auf die Wahrung der Anonymität der Identität des Meldenden. Allerdings macht eine sprachbasierte Lösung als zusätzlicher Kanal wiederum Sinn, wenn ein Hinweisgeber bzw. eine Hinweisgeberin nicht auf das Internet zugreifen kann oder möchte.

Die Bezeichnung „Whistleblowing Hotline“ wird mitunter von Unternehmen – vor allem im englischen Sprachraum – auch als Synonym für digitale Meldesysteme verwendet. Hintergrund ist der 2002 in Kraft getretene US-amerikanische Sarbanes-Oxley-Act, der alle US-Firmen dazu verpflichtete, interne Meldewege einzurichten. Mittlerweile handelt es sich allerdings kaum noch um rein telefonische Hotlines.

Ombudspersonen

Eine weitere vertrauenswürdige Möglichkeit, Hinweise abzugeben, ist eine Anlaufstelle mit einer unternehmensinternen oder externen Ombudsperson, die meist als Anwalt bzw. Anwältin tätig ist. Im Gespräch lassen sich so nicht nur Meldungsschwerpunkte selektieren, sondern auch die Plausibilität und Glaubwürdigkeit der internen Hinweise prüfen. Leider bietet ein Meldesystem mit Ombudspersonen naturgemäß eine eingeschränkte zeitliche und örtliche Erreichbarkeit sowie eine für gewöhnlich limitierte Sprachabdeckung. Aus diesem Grund werden Ombudspersonen meist im regionalen Kontext oder in Kombination mit anderen Meldekanälen eingesetzt.

Wie funktioniert ein Whistleblower System?

Bei einem Whistleblower System handelt es sich meist um ein digitales System, über die Hinweisgeber eine Meldung abgeben können – etwa auf einer Internetseite. Das Meldesystem lässt sich somit gut in eine bestehende Compliance-Management-Plattform integrieren, ist zu jeder Uhrzeit und von jedem Ort aus erreichbar und liefert eine zentrale Anlaufstelle für Hinweisgeber. Whistleblower füllen beim Melden eine sogenannte Fallmaske aus, über die wichtige Informationen abgefragt werden. Dabei steht es den Hinweisgebenden frei, ob sie ihre persönlichen Daten hinterlassen möchten oder ob sie anonym melden. In diesem Fall legt das Meldesystem ein Postfach an, über das der Fallbearbeiter oder die Fallbearbeiterin mit den Hinweisgebenden weiter kommunizieren kann, ohne die Identität offenzulegen. Geht ein Hinweis beim Compliance-Manager ein, prüft er den Fall und leitet weitere Schritte ein.

Wie Unternehmen vom digitalen Hinweisgebersystem profitieren

Unternehmen und Organisationen stehen aktuell vor neuen Compliance-Herausforderungen: Die EU-Whistleblowing-Richtlinie wurde in Deutschland in Form des Hinweisgeberschutzgesetzes verabschiedet und ist im Juli 2023 in Kraft getreten. Österreich hat die EU-Richtlinie mit dem HinweisgeberInnenschutzgesetz im Februar 2023 umgesetzt, in Kraft ist das Gesetz seit August 2023.

Die Richtlinie bzw. die nationalen Gesetze verpflichten Unternehmen mit mehr als 50 Mitarbeitenden dazu, interne Meldekanäle bzw. ein Hinweisgebersystem einzurichten. Auch auf Behörden, Ämter und öffentliche Einrichtungen sowie Städte und Gemeinden mit mehr als 10.000 Einwohnerinnen und Einwohnern findet die Richtlinie Anwendung. 

Seit dem 1. Januar 2023 ist zudem das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) in Kraft und fordert ebenfalls die Einrichtung eines sogenannten „Beschwerdeverfahrens“, eine weitere Bezeichnung für ein Hinweisgebersystem.

Die Investition in ein internes Meldesystem bedeutet jedoch nicht nur eine lästige Pflicht, sie zahlt sich für jede Organisation auf vielen Ebenen aus:

Die Organisation

Die Vorteile eines digitalen Hinweisgebersystems

Bei der Einrichtung eines Hinweisgebersystems kommen grundsätzlich mehrere Kanäle oder auch eine Kombination in Frage: Telefon-Hotline, E-Mail, Briefkasten, Ombudsperson oder eine digitale Lösung. Die Unterschiede liegen vor allem in der Erreichbarkeit und den Möglichkeiten einer vertraulichen Kommunikation. Ein digitales System liefert nämlich zahlreiche Vorteile gegenüber allen anderen Kanälen. Um nur einige wichtige Benefits zu nennen:

Anonymität und Vertraulichkeit:

Einhaltung gesetzlicher Vorschriften:

Effizienz:

Transparenz und Vertrauen:

Kostenersparnis:

Nachweisbare Dokumentation:

Ermöglichung einer Speak-up-Kultur:

Flexibilität und Zugänglichkeit:

Analyse und Reporting:

10 Kriterien für ein erfolgreiches Hinweisgebersystem

1. Datenschutz und Datensicherheit

Gibt ein Hinweisgebender oder eine Hinweisgeberin eine vertrauliche Meldung ab, werden dabei personenbezogene Daten verarbeitet. Aus diesem Grund müssen webbasierte Systeme höchste Anforderungen an den Schutz und die Sicherheit dieser Daten aufweisen – von der Erfassung des Hinweises bis hin zur Löschung.

2. Datenspeicherung und Zugriff

Eine Datenspeicherung auf geschützten Servern in Deutschland bzw. der EU ist in jedem Fall ratsam, nicht zuletzt aufgrund des für unwirksam erklärten Privacy Shield Abkommens zwischen der EU und den USA. Zudem sollten Dritte, auch der Anbieter eines Hinweisgebersystems, zu keinem Zeitpunkt Zugriff auf die Daten haben.

3. Verschlüsselung und Dialogmöglichkeit

Die Möglichkeit, bei Bedarf anonym melden zu können, senkt die Hemmschwelle auf Seiten des Whistleblowers und erhöht die Akzeptanz und den Erfolg eines Meldesystems. Gleichzeitig ist ein Dialog zwischen Hinweisgebenden und dem Bearbeitenden seitens des Unternehmens wichtig für die effiziente Klärung eine Falls. Mit speziellen Verschlüsselungstechnologien und einer Postkastenfunktion kann der vertrauliche Austausch realisiert und gleichzeitig die Identität des Whistleblowers geschützt werden.

4. Sprachabdeckung

Abhängig von seiner Ausgestaltung ist ein webbasiertes Meldesystem in der Lage, Hinweise in einer Vielzahl von Sprachen entgegenzunehmen. Insbesondere für international tätige Unternehmen ist dies ein wichtiges Kriterium, um Hinweisgebende die Abgabe des Hinweises in der eigenen Muttersprache zu ermöglichen und somit die Hemmschwelle so niedrig wie möglich zu halten. Mit Hilfe einer Übersetzungsfunktion können die eingegangenen Meldungen in die Sprache des jeweiligen Meldungsbearbeitenden übertragen werden.

5. Unabhängige Sicherheitskontrollen

Regelmäßige Sicherheits- und Penetrationstests unabhängiger IT-Experten sind ein wichtiges Qualitätsmerkmal einer Whistleblower Software. DSGVO-konforme Datenschutzzertifizierungen dienen ebenfalls als Indiz für die Sicherheit einer solchen Anwendung.

6. Länderspezifischer Datenschutz

Beim internationalen Einsatz eines internen Meldekanals müssen die landeseigenen Datenschutzanforderungen und Rechtsvorschriften berücksichtigt werden. So sind anonyme Meldungen zu bestimmten Themen in einigen Ländern nicht zulässig. Mit einer webbasierten Lösung können solche spezifischen Anforderungen daher gut abgebildet werden.

7. Fallbearbeitung und Dokumentation

Mit einer an das Hinweisgebersystem gekoppelten Fallbearbeitung können Ergebnisse und Maßnahmen des Bearbeitungsprozesses aus unterschiedlichen Quellen festgehalten und ausgewertet werden. Reports und Statistiken dienen gleichzeitig der rechts- und revisionssicheren Dokumentation der Fälle und vermitteln der Compliance-Abteilung und Unternehmensleitung relevante Informationen.

8. Kombination von Meldewegen

Moderne webbasierte Hinweisgebersysteme sind modular aufgebaut und ermöglichen die Hinweiserfassung und -bearbeitung aus unterschiedlichen Quellen. Auf diese Weise können sie im Rahmen des Compliance-Managements eines Unternehmens etwa in Kombination mit einer sprachbasierten Lösung und/oder einer Ombudsperson eingesetzt werden.

9. Eingrenzung der Themen

Für den Schutz vor wahllosem Melden und einer missbräuchlichen Nutzung sollten unternehmensindividuelle Themenschwerpunkte definiert werden.

10. Erreichbarkeit 24/7

Ein großer Vorteil digitaler Meldesysteme ist die permanente Erreichbarkeit, um Regelverstöße melden zu können – national oder weltweit.

Hinweisgebersysteme: Die häufigsten Fragen (FAQ)

Laut Whistleblowing Report 2021 haben mehr als die Hälfte der befragten Unternehmen Hinweise erhalten. Bei Unternehmen mit mehr als 250 Mitarbeitenden gingen im Schnitt 65 Meldungen pro Jahr ein. Bei Unternehmen mit 20 bis 49 Mitarbeitenden handelte es sich um 16 Meldungen. Knapp jede zweite Meldung, die bei den untersuchten Unternehmen eingegangen ist, hat sich als relevant und gehaltvoll erwiesen.

Der Whistleblowing Report 2021 zeigt, dass bei den Unternehmen, die anonymes Melden ermöglichen, mehr als die Hälfte der Erstmeldungen auch in anonymisierter Form eingehen. Viele Hinweisgebende sind stark verunsichert und fürchten Repressalien, Mobbing oder Jobverlust.

Je nach Funktionsumfang dauert die Implementierung eines Hinweisgebersystems von wenige Tagen bis etwa vier bis sechs Wochen.

 

Maximale Anonymität, Sicherheit und DSGVO-Konformität leisten nur digitale Hinweisgebersysteme. Sie anonymisieren alle personenbezogenen Daten falls nötig und erfüllen im besten Fall auch die Sicherheitskriterien einer ISO-Zertifizierung.

Teilen Sie diesen Artikel auf:

Share on linkedin
Share on xing
Share on twitter
Share on facebook
Christian Hasewinkel
Head of Sales Compliance Services | EQS Group
Christian Hasewinkel ist seit fast 15 Jahren in der Digitalbranche tätig und verfügt über eine große Expertise in Software-as-a-Service-Lösungen. Seit Ende 2020 ist er als Teil der Geschäftsleitung verantwortlich für den Markterfolg des Compliance Produktprogramms.
Der Aufsichtsrat ist für die Kontrolle und Beratung des Vorstands zuständig und muss sich im Zuge neuer Gesetze auch mit Hinweisgeberschutz und Hinweisgebersystemen auseinandersetzen. Wir zeigen auf, welche Rolle der Aufsichtsrat bei diesen Themen einnehmen kann.