Die Qual der Wahl – 7 Fragen zur Auswahl eines digitalen/webbasierten Hinweisgeber-Systems
Die Whistleblowing-Richtlinie verpflichtet insbesondere Unternehmen mit mehr als 50 Mitarbeitern zur Implementierung eines internen Meldekanals (siehe https://2imrecht.at/whistleblowing-richtlinie/). Aufgrund des Umstandes, dass „Compliance“ nunmehr zur gesetzlichen Verpflichtung wird, ist der konkreten Ausgestaltung des Meldekanals entsprechende Aufmerksamkeit gewidmet. Viele Unternehmen setzen dabei auf die Einführung eines digitalen/webbasierten Hinweisgeber-Systems. Meines Erachtens handelt es sich hierbei um die bestmögliche Lösung, um die Anforderungen aus der Whistleblowing-Richtlinie angemessen umsetzen zu können (siehe hierzu auch https://loupe.link/read/loupe-wp-whistleblowing-kanaele).
Die Verwendung eines digitalen/webbasierten Hinweisgeber-Systems erweist sich daher als vorteilhaft.
Inhaltsverzeichnis
Huhn oder Ei – wer war zuerst da?
Es ist jedoch unerlässlich, sich vor Auswahl des Systems bzw. des Systemanbieters mit der Ausgestaltung der Compliance-Organisation auseinanderzusetzen. Es nützt das beste System nichts, wenn es die vorhandene (oder nicht vorhandene) Organisation nicht widerspiegelt. Meiner persönlichen Meinung nach sollte sich das System der Organisation anpassen – und nicht die Organisation an das System. …Huhn/Ei… 🙂
Bei Unternehmen, die aufgrund ihrer Größe über keine Compliance-Strukturen bzw. personelle Ressourcen verfügen, kann ein System hingegen den rettenden Impuls geben. Dennoch muss die Ausgestaltung der Organisation stets an die tatsächlichen Gegebenheiten (Größe, Personalstärke, Kultur, etc.) angepasst werden. Die Whistleblowing-Richtlinie kann im Zusammenhang mit der Frage der „Organisation“ durchaus als Bauanleitung (im Sinne einer Hilfestellung) verstanden werden – implementiere die vorgegebenen Hinweisgeber-Kanäle, bestimme eine verantwortliche Person oder Abteilung (auch eine externe Person kann gewählt werden) und stelle sicher, dass Meldungen gemäß der genannten Fristen bearbeitet werden und die Vertraulichkeit des Melders gewahrt bleibt. Je nach Größe der Organisation, nach Branche/Geschäftsbereich, finanziellen/personellen Ressourcen lässt sich somit der Grundstein für Compliance legen.
Steht die Organisation bzw. hat man festgelegt, wer die Meldungen entgegennimmt, bearbeitet und an die Geschäftsführung/den Vorstand berichtet, kann man mit der Suche/Auswahl des passenden Systems beginnen.
Aufgrund eigener Erfahrungen empfehle ich, sich folgende Fragen bei der Auswahl des richtigen Systemanbieters zu stellen:
Frage 1: Wie steht um „Datenschutz“ und „Datensicherheit“?
Bei der Verwendung eines digitalen/webbasierten Hinweisgeber-Systems werden Daten (Informationen) entweder on-premise (dh auf einem Server bzw. in der IT-Infrastruktur des eigenen Unternehmens) oder im Rahmen einer Software-as-a-Service-Lösung (dh Cloud-Service) verarbeitet. In beiden Fällen spielen Datensicherheit und Datenschutz eine große Rolle. Das gewählte System sollte anerkannten Standards wie zB der ISO 27001 entsprechen, wobei einer Zertifizierung der Vorrang zu geben ist.
Aufgrund der Verarbeitung personenbezogener Daten, muss der Systemanbieter sowohl – der DSGVO entsprechende – technische und organisatorische Maßnahmen („TOM“) nachweisen und insbesondere die datenschutzkonforme Verarbeitung (konkret die Löschung personenbezogener Daten) ermöglichen.
Meines Erachtens ist einer SaaS-Lösung durchaus der Vorrang zu geben, da Aufwand und Kosten für Wartung, Sicherheitsupdates, etc. durch den Anbieter erfolgen und zumeist im Entgelt bereits inkludiert sind. Im Rahmen einer on-premise-Lösung muss sich das Unternehmen selbst um diese Dinge kümmern – die Begeisterung im Unternehmen (insbesondere bei der IT) wird sich dabei wohl in Grenzen halten (man erinnere sich an die Umsetzung der DSGVO).
Frage 2: Decke ich mit dem System die Vorgaben der Whistleblowing-Richtlinie ab?
Die Whistleblowing-Richtlinie ist – wie eingangs bereits angeführt – sehr präzise formuliert, wenn es um die zur Verfügung zu stellenden Meldekanäle und die Bearbeitung eingehender Meldungen geht. Die betroffenen Unternehmen müssen mündliche, schriftliche und persönliche Meldungen ermöglichen. Der System-Anbieter sollte daher alle drei Meldekanäle in einem System abdecken können. Wichtig ist zudem, dass Meldungen anonym möglich sind (schon allein im Hinblick auf die Vorgabe der „Vertraulichkeit“ und der Vorgaben bekannter Compliance-Standards).
Ferner sieht die Whistleblowing-Richtlinie die Bearbeitung von Meldungen und die Einhaltung konkreter Fristen durch zuvor berechtigte Personen bzw. Abteilungen vor. Das System sollte daher die Einrichtung konkreter Berechtigungen und Rollen/Funktionen ermöglichen.
Da ich selbst kein Techniker, sondern Anwender bin, muss das auszuwählende System einfach in der Bedienung sein und die obengenannten Vorgaben – ohne unnötigen Aufwand und hoher Komplexität – erfüllen (Stichwort: automatisches Fristen-Management).
Frage 3: Ist das System mit meiner (Compliance-)Organisation vereinbar?
Das gewählte System sollte sich – wie oben bereits angeführt – der Organisation anpassen können; unabhängig davon, ob man über eine zentrale oder dezentrale Compliance-Organisation verfügt. Gibt es noch keine Compliance-Organisation sollte der Fokus auf einem System liegen, welches einfach in der Handhabung ist und welches die Bearbeitung (oder zumindest die Ersteinschätzung) von Hinweisen durch externe Berater (zB Rechtsanwälte oder Compliance-Spezialisten) – direkt im System – ermöglicht.
Frage 4: Wie einfach ist der Meldevorgang bzw. wird dem Hinweisgeber die Möglichkeit einer anonymen Meldung eingeräumt?
Bei der Auswahl eines digitalen/webbasierten Hinweisgeber-Systems sollte man darauf achten (und insbesondere den Fokus darauflegen), dass der Meldevorgang so einfach wie möglich erfolgt. Hinweisgeber, die den Entschluss zur Meldung gefasst haben, befinden sich in einer Stresssituation und möchten ihrem Meldeimpuls ohne Barrieren nachkommen. Oftmals stehen Registrierungen, das Einrichten von Accounts, das standardisierte Ausfüllen von Meldeformularen, etc. dem Wunsch nach freien Meldungen (und der Formulierung der Meldung in eigenen Worten) entgegen.
Aus diesem Grund ist mE Systemen mit einfacher Handhabung, die wenig unnötige Interaktionen des Hinweisgebers erfordern, der Vorrang zu geben.
Die Whistleblowing-Richtlinie verpflichtet Unternehmen zur Vertraulichkeit – sohin der Wahrung der Identität des Melders. Diesem Umstand kann am besten durch eine anonyme Meldeoption Rechnung getragen werden. Ferner sehen anerkannte Compliance-Standards diesen Punkt zwingend vor. Wichtig ist jedoch, dass die Vertraulichkeit (wie in der Whistleblowing-Richtlinie angeführt) insbesondere auch im Laufe des weiteren Prozesses gewahrt werden muss; ein strukturiertes Fall-Management und ein einfaches – aber effektives – Berechtigungs-Management bieten entsprechende Unterstützung.
Frage 5: Ist eine aufrechte Kommunikation mit dem Hinweisgeber möglich und ist auch im Anschluss an die Meldung eine weitere Datenübermittlung gewährleistet?
Als Compliance-Verantwortliche sind wir laut Richtlinie verpflichtet, eine laufende Kommunikation mit dem Hinweisgeber sicherzustellen. In diesem Zusammenhang normiert die Richtlinie, dass Unternehmen dem Hinweisgeber binnen 7 Tagen den Erhalt der Meldung bestätigen und binnen 3 Monaten über Folgemaßnahmen (zB die Aufnahme von Investigationstätigkeiten, Abschluss der Untersuchung, etc.) informieren müssen. Dies erfordert ein System, welches die Kommunikation (und so auch den weiteren Austausch von Daten und Informationen) ermöglicht.
Frage 6: Ist das System benutzerfreundlich und logisch konstruiert?
Bei der Auswahl Ihres Hinweisgeber-Systems man darauf achten, dass das System den Benutzer in seinen Handlungen unterstützt und dem Anwender im Rahmen seines Tuns einen Mehrwert bringt.
Frage 7: Stimmen Preis und Leistung überein?
Der Einsatz eines digitalen/webbasierten Hinweisgeber-Systems kostet natürlich Geld. Aufgrund der (oftmals) negativen Erfahrungen im Zusammenhang mit der Implementierung erforderlicher DSGVO-Maßnahmen liegt der Fokus nunmehr besonders auf einem ausgewogenen Preis-/Leistungs-Verhältnis. In diesem Punkt verweise ich erneut auf obige Ausführungen und die Notwendigkeit, sich früh und gezielt mit der Ausgestaltung der Compliance-Organisation zu beschäftigen. Kennt man die Organisation – kennt man auch die Anforderungen an das System.
Die „Schmerzgrenzen“ in Bezug auf die Kosten des Systems (und Implementierung) liegen bei den Unternehmen unterschiedlich. Leider gibt es zu dieser Frage keine allgemein gültige (und möglicherweise hilfreiche) Antwort.
Fazit
Hat man sich erst für den Einsatz eines digitalen/webbasierten Hinweisgeber-Systems entschieden, kann man sich der Auswahl des System-Anbieters widmen. Unterschiedliche Systeme bieten dabei auch unterschiedliche Lösungsmöglichkeiten.
„Die Masse an Auswahl garantiert nicht das Finden.“
(Damaris Wieser)
Einfachen, sicheren und richtlinienkonformen Hinweisgeber-Systemen ist daher der Vorrang zu geben. Die oben genannten Fragen sollten bei der Auswahl behilflich sein. Ein System-Anbieter antwortet unter: https://loupe.link/read/loupe-checkliste-hinweisgebersystem