HINWEISGEBERSYSTEM – „Speak-Up“-Kultur für das Unternehmen!
Welche Bedenken haben Mitarbeiter, dass sie Fehlverhalten oder Missstände im Unternehmen nicht melden? Welche Gesetze und auch Hinweisgebersysteme gibt es, die diese Hürden minimieren?
Von „Außen“ betrachtet erscheint es nahezu logisch, Missstände und Fehlverhalten im Unternehmen sofort zur Meldung zu bringen – und doch liegt laut einer IBE-Studie der Anteil an Mitarbeitern, die lieber schweigen, bei über 40%. Was sind also die Gründe dafür, dass so ein großer Anteil sich nicht zu Wort meldet?
Gründe für das Schweigen der Mitarbeiter und Tipps für den Aufbau einer Speak-Up-Kultur
Laut der IBE-Studie gaben die befragten Mitarbeiter u.a. folgende Gründe an:
„Ich dachte, das liegt außerhalb meines Verantwortungsbereiches.“
Personalverantwortliche sollten regelmäßig darüber informieren, dass das Melden von Missständen Aufgabe eines jeden Mitarbeiters ist – unabhängig davon, wie lange ein Mitarbeiter schon dabei ist und in welcher Position.
„Ich dachte, das macht man hier eben so im Unternehmen.“
Richtlinien und Schulungen geben Mitarbeitern eine solide Grundlage, was akzeptables Verhalten ist und was nicht mehr. Die Grenze kann hier schnell einmal verschwimmen und unethisches Verhalten sich langsam und unbemerkt einschleichen.
„Ich dachte, meine Meldung wird sowieso nicht ernst genommen.“
Um dem hinweisgebenden Mitarbeiter das Gefühl zu geben, dass seine Meldung Konsequenzen für den Missstand hatte, ist Feedback hilfreich. Entweder anonym über ein Hinweisgebersystem oder anhand einer unternehmensweiten Fallstudie, die auf den auf den Missstand eingeht.
„Ich dachte, das Problem sei nicht so schwerwiegend.“
Oft sind Mitarbeiter unsicher, ob das beobachtete Problem einer Meldung bedarf oder zu trivial ist. Eine fest im Unternehmen verankerte Speak-Up-Mentalität bietet hier einen offenen Rahmen für jegliche Meldung. Ein digitales Meldesystem ermöglicht, anonym Kontakt mit den Compliance-Verantwortlichen aufzunehmen und unverbindlich nachzufragen.
„Ich befürchtete, dass meine Meldung das Betriebsklima verschlechtern könnte.“
Über vertrauliche und anonyme Meldekanäle können Meldungen diskret abgegeben werden. Dadurch sinkt das Risiko für Vergeltungsmaßnahmen dem „Whistleblower“ gegenüber und wichtige Meldungen werden nicht aus falschen Gründen ad acta gelegt.
„Ich wusste nicht, an wen ich das Fehlverhalten melden sollte.“
Tue Gutes und rede darüber! Unternehmen tun gut daran, in regelmäßigen Abständen auf ihre Meldekanäle hinzuweisen und die Bedeutung einer Speak-Up-Kultur zu bekräftigen. Das kann in Form von Rundmails, Videos oder Bannern sein.
Optimieren Sie im Handumdrehen Ihren Datenschutz!
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Das neue Hinweisgeberschutzgesetz und seine Umsetzung
Das deutsche Hinweisgeberschutzgesetz (HinSchG) wird kommen. Zwar ist die Verabschiedung des Gesetzes für Organisationen ab 50 Personen auf Anfang 2023 und das Inkrafttreten drei Monate später verschoben worden, aber Unternehmen mit 50-249 Mitarbeitern befinden sich bereits in der Übergangsfrist. Diese müssen die Umsetzung bis Dezember 2023 erledigt haben.
Was ist das deutsche Hinweisgeberschutzgesetz?
Das Gesetz schützt natürliche Personen, die innerhalb ihrer beruflichen Tätigkeit Kenntnis über Verstöße oder Missstände erlangt haben und diese an die unternehmensinterne oder -externe Meldestelle weitergeben.
Das Gesetz gilt sowohl für Arbeitnehmende, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat. Demnach untersagt das Hinweisgeberschutzgesetz
Das Hinweisgeberschutzgesetz verbietet jegliche Sanktions- oder Vergeltungsmaßnahmen gegenüber dem Hinweisgebenden.
Wie können Unternehmen das kommende Gesetz jetzt schon umsetzen?
Mittelständische und große Unternehmen kommen künftig nicht umhin, sich mit dem Hinweisgeberschutzgesetz und dessen Umsetzung zu beschäftigen. Das Thema „Whistleblowing“ und der Begriff des „Hinweisgebersystems“ gewinnen dabei immer mehr an Bedeutung. Welche Meldekanäle laut Gesetzgeber zulässig sind und welche sich bislang bewährt haben, erläutern wir im Folgenden.
Definition „Hinweisgebersystem“
„Der Ausdruck Hinweisgebersystem bezeichnet ein System zum Gewinnen von Informationen, das Ermittler in Unternehmen und Verwaltungen einsetzen, um ihren Mitarbeitern und auch Personen des Umfeldes einen vertraulichen Kommunikationskanal zu eröffnen. Dieser kann von ihnen – das betrifft auch Whistleblower – zum Melden möglicher Straftaten und Ethikverstöße genutzt werden.“ (vgl. Schemmel/Ruhmanseder/Witzigmann: Hinweisgebersysteme, C.F. Müller, Heidelberg 2012)
Hinweisgebersysteme können sich verschiedener Meldekanäle bedienen. Vom bloßen Briefkasten über Telefonhotlines und interne bzw. externe Ombudsleute bis hin zu digitalen Hinweisgebersystemen ist alles dabei, um Missstände im Unternehmen zu melden.
Die verschiedenen Meldekanäle eines Hinweisgebersystems
Die vom Gesetzgeber zugelassenen Meldekanäle erscheinen zunächst alle vertraulich in der Meldungsabgabe. Allerdings weisen sie bei genauerer Betrachtung doch Unterschiede auf.
Briefkasten und Telefonhotline
Die Meldeabgabe in Form eines Briefes hat den gravierenden Nachteil, dass sie eventuell nicht immer die Person zielsicher erreicht, die dafür zuständig ist. Bei anonymer Meldung kann dem „Whistleblower“ kein direktes Feedback über den Bearbeitungsstand gegeben oder Rückfragen zum Fall gestellt werden.
Telefonhotlines, die von Menschen betreut werden, haben einen hohen personellen Aufwand und damit erhebliche Kosten zur Folge. So können solche Systeme eine Erreichbarkeit rund um die Uhr kaum gewährleisten. Die Lösung eines Anrufbeantworters hat wiederrum den Nachteil, keine Rückfragen stellen zu können. Beide Telefon-Lösungen genießen darüber hinaus wenig Vertrauen, was die Wahrung der Anonymität angeht.
Ombudspersonen
Mit dem Einsatz einer internen oder externen Omdudsperson als Anlaufstelle haben Unternehmen sicher eine vertrauenswürdige Möglichkeit für Meldungen. Solche Personen, die meistens Anwälte/Innen oder Berater/Innen sind, sind zwar in der Lage, die Plausibilität und Glaubwürdigkeit des Falles zu überprüfen, jedoch sind diese „Ansprechpartner“ auch nur eingeschränkt erreichbar.
Digitales Hinweisgebersystem
Ein digitales Hinweisgebersystem ist eine Software, die den Hinweisgeber dazu befähigt eine Meldung abgeben können, z.B. über eine Internetseite, die das Unternehmen allen Mitarbeitern zur Verfügung stellt. Diese Art von Meldesystem lässt sich somit gut integrieren, ist zu jeder Tages- und Nachtzeit und von überall aus erreichbar und stellt eine zentrale Anlaufstelle für Whistleblower dar. Beispielsweise whistlebox.de
Über einen Link kommen Whistleblower auf die dafür vorgesehene Internetseite und füllen eine Fallmaske aus, worüber alle ausschlaggebenden Informationen zum Vorfall abgefragt werden – das kann anonym geschehen oder unter Angabe der persönlichen Daten des Hinweisgebers. Das Meldesystem beinhaltet ein Postfach, worüber der Fallbearbeiter mit dem Hinweisgeber in Kontakt bleiben kann – auch anonym. Sobald ein Hinweis beim Compliance Manager eingeht, kann dieser den Fall prüfen, weitere Schritte einleiten und dem Hinweisgeber entsprechend Feedback über den Bearbeitungsstand zurückmelden. Damit erfüllt ein digitales Hinweisgebersystem alle Anforderungen zur umfassenden Meldeabgabe. Das System führt den Hinweisgeber Schritt für Schritt durch seinen Fall und garantiert so höchste Standards in Sachen Anonymität und Vertraulichkeit.
Whistlebox ist ein Produkt aus dem Hause der DSM-Online GmbH. Die gleichnamige Datenschutzsoftware DSM-Online gewährleistet höchste Standards im Bereich Datenschutz und Compliance.
Whistlebox ist eine Software, die sowohl einfach zu bedienen ist als auch die Anforderungen der EU-Whistleblower-Richtlinie sicher umsetzt. Zudem bietet die Software höchstes Maß an Sicherheit, Einfachheit und intuitive Bedienbarkeit zu günstigen Kosten.
Wie funktioniert Whistlebox?
- Schritt 1
Das Unternehmen richtet einen Account ein und erhält einen Link für Hinweisgeber. - Schritt 2
Der Hinweisgeber trägt anonym und sicher seine Angaben (Regelverletzung, Gesetzesverstoß, sonstigen Hinweis) in das Whistleblower-System ein. - Schritt 3
Hinterlegte Bearbeiter werden automatisch benachrichtigt, sobald ein neuer Hinweis eingeht. - Schritt 4
Der Hinweis wird vom Bearbeiter gemäß der EU-Richtlinie digital verwaltet und bearbeitet. - Schritt 5
Der Hinweisgeber kann sich jederzeit über den Status der Bearbeitung informieren.
EU-Datenschutzgrundverordnung: Das ändert sich
Im Vergleich zum hierzulande bestehenden BDSG ist keine vollständige Änderung der Rechtslage im Datenschutz zu erwarten, da sich die DSGVO stark an den Prinzipien der hiesigen Regelungen orientiert. Dennoch sind einige Themen anders gelagert, weiter gefasst und vor allem stärker sanktioniert.
Zu nennen sind zum einen die ganz explizit benannten Rechte der Betroffenen, also der natürlichen Personen, deren Daten potenziell verarbeitet werden. Neben bestehenden und in Teilen leicht angepassten Rechten auf einen transparenten Erhebungs- und Einwilligungsprozess oder Auskunft auf Anfrage hin ist das „Recht auf Vergessenwerden“ sicher ein Thema das größere Auswirkungen haben wird, sowohl auf das Sensibilisieren der Bürger als auch auf die Prozesse bei den Unternehmen um dies effektiv umzusetzen.
Des Weiteren werden auch die Pflichten für Unternehmen noch klarer gefasst und teilweise nachhaltig ausgeweitet: Mit der DSGVO wird bspw. nun auch der Auftragsverarbeiter stärker in die Pflicht genommen und dem Verantwortlichen in mehreren Bereichen quasi gleichgestellt (bspw. Pflicht zur Bestellung eines Datenschutzbeauftragten).
Mit die größte Aufmerksamkeit haben sicherlich die deutlich angestiegenen Maximal-Beträge der aussprechbaren Strafen für Verstöße erfahren, da diese mit der klaren Zielsetzung der Wirksamkeit und der Abschreckung ausgelegt werden sollen. Konkrete Werte von „bis zu 20 Mio. EUR“ und „bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ machen die Gefahr deutlich erfassbarer als bisher.
Datenschutz: Neue Pflichten für Unternehmen
Ein genauerer Blick auf die – zum Teil erweiterten – Pflichten für Unternehmen zeigt auf, worauf die Verantwortlichen in der Geschäftsleitung beim Vorbereiten und Umsetzen ihrer Datenschutzaktivitäten ihr Augenmerk legen müssen. Hier ein Auszug der relevantesten Regelungen:
Technischen und organisatorischen Rahmen schaffen
Unternehmen müssen ihre Wertschöpfungsprozesse analysieren und durch geeignete Tools und Systeme sicherstellen, dass sie das Verarbeiten personenbezogener Daten rechtskonform durchführen und dies jederzeit nachweisen können. Das Gesetz spricht hier zwar auch von einer „Verhältnismäßigkeit“, konkretisiert diese aber nicht. Die technischen und organisatorischen Maßnahmen umfassen bspw. datenschutzfreundliche Voreinstellungen (generell Opt-in statt Opt-out, keine Vorbefüllung nicht relevanter Felder etc.), weitestgehende Pseudonymisierung oder automatisch gesteuerte Löschprozeduren.
Gemeinsame Verantwortung, Vertreter-Verantwortung
Bei einer arbeitsteilig geplanten Verantwortung muss die Aufteilung im Vorfeld klar geregelt sein, „weiße Flecken“ sind unbedingt zu vermeiden. Nicht in er EU ansässige aber hier tätige Unternehmen müssen zwingend einen Vertreter benennen, der die Verantwortlichenrolle gegenüber den Behörden ausüben kann.
Auftragsverarbeiter vertraglich einbinden
Sobald bestimmte Verarbeitungsprozesse vom Verantwortlichen an einen Externen ausgelagert werden, wird dieser zum Auftragsverarbeiter. Dieser hat – genauso wie ein Verantwortlicher – aktiv dafür Sorge zu tragen, dass im Rahmen dieser Auftragsverarbeitung alle nötigen Maßnahmen getroffen werden um den Schutz der verarbeiteten personenbezogenen Daten sicherzustellen. Beide Seiten sind verpflichtet, einen ausreichend regelungsstarken Vertrag zu diesem Auftragsverhältnis abzuschließen.
Verarbeitungsverzeichnis führen
Wie schon beim BDSG sind Unternehmen verpflichtet, die Verarbeitungsprozesse und die beteiligten Systeme nachvollziehbar und aktuell zu dokumentieren und neue, potenziell problematische Verfahren im Vorfeld auf ihre Datenschutzkonformität zu prüfen. Die Ausnahmen bzgl. der in der DSGVO benannten Größenerleichterung für Unternehmen unter 250 Mitarbeitern sind zu prüfen und bei Interpretationsspielräumen lieber streng auszulegen.
Zusammenarbeit mit den Behörden
Grundsätzlich sind Unternehmen zur aktiven Zusammenarbeit mit den Behörden verpflichtet. Dies manifestiert sich u.a. durch eine proaktive Meldepflicht von Verstößen innerhalb von 72 Stunden, die vorgeschriebene Datenschutz-Folgenabschätzung bei bestimmten Fällen sowie die Pflicht zur vorherigen Konsultation in potenziellen Risikofällen oder in der Einhaltung der von den Behörden festgelegten Verhaltensregeln für eine ordnungsgemäße Anwendung der Verordnung.
Datenschutzbeauftragter
Viele Unternehmen brauchen einen, nur wenige haben bereits einen benannt oder bestellt: In der DSGVO sind die Erfordernis und die Aufgaben eines Datenschutzbeauftragten klar geregelt. Im Rahmen seiner Unterrichtungs- und Kontrollfunktion ist er der „Sparringspartner“ für die verantwortliche Geschäftsleitung. Zugleich ist er die zentrale Anlaufstelle für externe Interessenten wie bspw. Betroffene oder Behörden. Zwar legt die DSGVO eine zunächst stark erleichternd erscheinende Grenze von 250 Mitarbeitern fest, diese kann – und wird – allerdings über eine Öffnungsklausel durch nationale Regelungen gesenkt werden.
Erweiterung bzw. Konkretisierung zum Datenschutz
Die DSGVO ist als Grundlagen-Regelung zu verstehen, die nicht jede spezielle Verarbeitungssituation vollständig darstellen und klar regeln kann. Aus diesem Grund gehört es zu den Pflichten von Unternehmen, interpretationsbedürftige und besondere Datenschutzaktivitäten in internen Datenschutzvorschriften weiter zu konkretisieren und damit möglichst eindeutig und unstrittig zu definieren. Diese Vorschriften müssen rechtlich bindend sein und ihren Wirkungskreis klar darlegen.
Sonderregelung: DSGVO für Deutschland
Die DSGVO löste am 25. Mai 2018 bestehende Datenschutzgesetze in den Mitgliedsländern ab, somit auch das BDSG in Deutschland. Zwar liegt das Schutzniveau durch die DSGVO auf einem ähnlichen Level wie beim heutigen BDSG, einige Konkretisierungen und vor allem striktere Auslegungen sind aus Sicht der hiesigen Gesetzgeber aber dennoch nötig, um keine Verwässerung zuzulassen oder bestimmten hiesigen Besonderheiten ausreichend Rechnung tragen zu können. Aus diesem Grund tritt zeitgleich mit der DSGVO ein BDSG(neu) in Kraft, das die Regelungen der EU-Verordnung aufnimmt, in Teilen konkretisiert und bestimmte Themen strikter festlegt. Die offizielle Bezeichnung des im April 2017 beschlossenen Gesetzes lautet „Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)“.
Neben der erwähnten Nutzung der Öffnungsklausel bei der Größenerleichterung für die Bestellung eines Datenschutzbeauftragten wird durch das BDSG(neu) bspw. ein Schmerzensgeldanspruch für Verbraucher und Arbeitnehmer eingeführt. Anders als nach der DSGVO kann nunmehr eine betroffene Person wegen eines Schadens, der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen.
Zwar gibt es bzgl. der Rechtmäßigkeit des BDSG(neu) wegen mancher Abweichungen von der DSGVO erste Stimmen, die nach einer Reform des Ergänzungsgesetzes rufen, Unternehmen sollten bis auf weiteres von einer umfassenden Gültigkeit ausgehen und das BDSG(neu) als gleichberechtigte Richtschnur neben der DSGVO ansehen.
DSM-Online ist in seinen Prüfungen und Ableitungen für Ihre tägliche Arbeit mit dem Datenschutz vollumfänglich auf die EU-DSGVO und das BDSG(neu) ausgerichtet, so dass Sie mit DSM-Online bestens auf die künftigen Datenschutz-Anforderungen vorbereitet sind. Und sollte sich in der nächsten Zeit wieder etwas an den gerade erst getroffenen Regelungen ändern, erfahren Sie als DSM-Online-Nutzer es als Erster – inklusive einer eindeutigen Handlungsempfehlung!
Haben Sie weitere Fragen oder benötigen Unterstützung?
DSM-Online hilft Ihnen nicht nur bei der Organisation Ihres Datenschutzes, der Definition Ihrer technischen und organisatorischen Maßnahmen, der Datenschutz-Folgeabschätzung, sondern auch bei der Verwaltung von Betroffenenrechten und Verletzungen, dem Erstellen von Hinweispflichten, Verträgen zur Auftragsverarbeitung, Geheimhaltungsvereinbarungen und vielem mehr.
Ähnliche Artikel im Ratgeber
Datenschutzvergehen
Ratgeber Datenschutzvergehen Datendiebstahl, Datenklau, Datenmanipulation. Was Sie tun müssen! DSM-Online kostenlos testen Was ist eine Datenschutzverletzung und…
Datenschutz am Arbeitsplatz – einfache Regeln für jedes Unternehmen
Ratgeber Datenschutz am Arbeitsplatz – einfache Regeln für jedes Unternehmen Damit der Datenschutz und auch die Datensicherheit…
Rechtliche Rahmenbedingungen der Videoüberwachung: Was ist erlaubt?
Ratgeber Rechtliche Rahmenbedingungen der Videoüberwachung: Was ist erlaubt? Die Videoüberwachung von Firmengeländen und Privatgrundstücken ist mittlerweile weit…