Einleitung
In einer sich ständig wandelnden Geschäftswelt, in der ethische Standards und die Einhaltung von Vorschriften immer stärker in den Fokus rücken, sind Whistleblower zu unverzichtbaren Akteuren geworden. Diese mutigen Menschen spielen eine entscheidende Rolle bei der Aufdeckung von Missständen, illegalen Aktivitäten und Verstößen gegen Ethikrichtlinien in Organisationen. Um ihre Identität zu schützen und die Integrität von Unternehmen zu gewährleisten, hat die DIN ISO 37002 ihren Weg in die Compliance-Welt gefunden. In diesem Artikel werden wir die tiefgreifende Bedeutung dieser Norm für Organisationen analysieren und wie sie dazu beiträgt, Whistleblower-Systeme zu stärken.
Das Hinweisgeberschutzgesetz macht Druck
Im Hinweisgeberschutzgesetz vom 2. Juli 2023, wird vorgeschrieben, dass Unternehmen ab 50 Mitarbeiter bis zum 23.12.2023 Zeit haben eine Meldestelle einzurichten. Das Gesetz wurde lange diskutiert und am Ende in einer entschärften Fassung durch den Bundestag freigegeben. Die wichtigsten Inhalte für Unternehmen sind folgende:
- Verstöße gegen das Gesetz können mit einer Geldstrafe von bis zu 50.000 € geahndet werden
- Externe Meldestellen sind vorerst als nachrangig anzusehen, sollten die Verstöße nach Meldung an eine interne Meldestelle auch intern behebbar sein
- Anonyme Hinweise sollten zwar möglich sein, es ist allerdings in der aktuellen Fassung des Gesetzes nicht vorgeschrieben, dass auch ein anonymer Kanal eingerichtet werden muss
- Verstöße gegen das Gesetz gelten als Ordnungswidrigkeit nach § 30 OWiG und werden mit einer Geldbuße geahndet. Beispiele für Verstöße sind: Nichteinführung einer Meldestelle, Repressalien für Meldende, Behinderung von Meldungen, vorsätzliches Offenlegen falscher Informationen
- Meldende können laut Gesetz selbst wählen, ob Sie eine externe oder eine interne Meldestelle bevorzugen, wobei vorrangig die interne Meldestelle zu wählen ist.
Hinsichtlich dieser harten Kriterien müssen Unternehmen in Form von technisch-organisatorischen Maßnahmen handeln. Der Gestaltungsspielraum ist hier jedoch groß. Das Gesetz macht keine Vorgaben zu Form und Ausführung der einzurichtenden Meldestelle, aber denkbare Implementierungen wären:
- Bestellung einer externen Meldestelle mit Ombutsperson
- Einrichtung einer Whistleblowing Hotline oder in Form eines Anrufbeantworters
- Einrichtung einer Papier-basierten Form als Post Meldestelle
- Einrichtung einer Email Meldestelle
- Einrichtung eines softwarebasierten Meldekanals
Die DIN ISO 37002: Ein technischer Leitfaden zur Einrichtung
Egal, auf welche Art die Meldestelle eingerichtet wird, am Ende ist entscheidend, dass ein funktionierender Meldeprozess entsteht, der im Sinne des Datenschutzgesetzes DSGVO und des Hinweisgeberschutzgesetzes verhindert, dass der Meldende Schaden durch Meldungsabgabe trägt. Genau da hilft die Leitlinie zur Einrichtung eines Meldestellenmanagement Systems nach der DIN ISO 37002. Sie bietet eine Reihe technisch-organisatorischer Maßnahmen zur effektiven Implementierung von Mechanismen zur Meldung von Missständen und zum Schutz von Whistleblowern.
Die Eckpfeiler der DIN ISO 37002
Die DIN ISO 37002 basiert auf einer Reihe von grundlegenden Prinzipien, die Organisationen dabei unterstützen sollen, ihre Whistleblower-Systeme effizient zu gestalten und kontinuierlich zu verbessern. Hier sind einige der essentiellen Prinzipien:
- Vertraulichkeit und Schutz: Die Norm hebt hervor, wie wichtig es ist, die Identität von Whistleblowern zu schützen und sicherzustellen, dass sie vor möglichen Sanktionen bewahrt werden.
- Unparteilichkeit: Whistleblower-Systeme müssen absolut unparteiisch sein und klare Verfahren zur Untersuchung von Meldungen bieten.
- Kommunikation: Unternehmen sind aufgefordert, klare und verständliche Informationen über ihre Whistleblower-Systeme bereitzustellen, um Mitarbeiter zur Meldung von Verstößen zu ermutigen.
- Rechtlicher Schutz: Die DIN ISO 37002 betont die Notwendigkeit sicherzustellen, dass Whistleblower vor rechtlichen Konsequenzen geschützt sind, wenn sie Verstöße melden.
Die Bedeutung der DIN ISO 37002 für Unternehmen
Die Implementierung der DIN ISO 37002 ist für Unternehmen von grundlegender Bedeutung. Hier sind einige Gründe, warum diese Norm von entscheidender Bedeutung ist:
- Rechtliche Konformität: Die Einhaltung dieser Norm unterstützt Unternehmen dabei, den rechtlichen Anforderungen bezüglich Whistleblower-Schutz und -Meldesystemen zu genügen.
- Ruf und Vertrauen: Organisationen, die die Wichtigkeit ethischer Praktiken und des Schutzes von Whistleblowern betonen, können das Vertrauen ihrer Mitarbeiter und Kunden stärken und ihren Ruf verbessern.
- Risikomanagement: Die DIN ISO 37002 hilft Unternehmen, Risiken im Zusammenhang mit Gesetzesverstößen und ethischen Verstößen frühzeitig zu erkennen und zu minimieren.
- Mitarbeiterengagement: Wenn Mitarbeiter wissen, dass ihre Bedenken ernst genommen werden und sie vor möglichen Sanktionen geschützt sind, sind sie eher bereit, potenzielle Verstöße zu melden.
Die DIN ISO 37002 als PDCA Zyklus
Die Umsetzung der Richtlinie ist durch einen sog. Demingkreis geregelt:
1. Planen (Plan – P):
- Zielsetzung und Richtlinien: Die Organisation plant die Umsetzung der DIN ISO 37002 und legt ihre Ziele und Grundsätze für das Whistleblower-System fest.
- Risikoanalyse: Es wird eine Risikoanalyse durchgeführt, um potenzielle Verstöße und Risiken zu identifizieren, die durch das System erfasst werden sollen.
2. Umsetzen (Do – D):
- Einführung des Systems: Die Organisation wählt und implementiert das Whistleblower-System gemäß den Anforderungen der DIN ISO 37002.
- Schulung der Mitarbeiter: Mitarbeiter und Führungskräfte werden geschult, um sicherzustellen, dass sie das System nutzen können und sich der Prozesse und Verfahren bewusst sind.
3. Überwachen (Check – C):
- Meldungen und Untersuchungen: Die Organisation überwacht kontinuierlich die eingehenden Meldungen von Hinweisgebern und führt Untersuchungen durch, um gemeldete Verstöße zu überprüfen.
- Leistungsbewertung: Die Leistung des Whistleblower-Systems wird anhand von KPIs (Key Performance Indicators) und anderen Metriken bewertet.
4. Anpassen (Act – A):
- Kontinuierliche Verbesserung: Auf Grundlage der Überwachungs- und Leistungsergebnisse werden Anpassungen und Verbesserungen am Whistleblower-System vorgenommen.
- Compliance-Anpassungen: Das System wird kontinuierlich an die sich ändernden rechtlichen Anforderungen und Normen angepasst, einschließlich der DIN ISO 37002.
Technisch-Organisatorische Maßnahmen
Die Wahl des Meldesystems fällt dabei meist in Konsideration auf Basis eines Plans umzusetzender Technisch-Organisatorischer Maßnahmen und deren Umsetzungsaufwand. So müssen z.B. jederzeit Meldungen abgegeben werden können. Was in Folge bedeutet, dass eine Vertretungsregelung der entgegennehmenden Person existieren muss.
- Bei einer Telefonhotline wäre also ein 24 Stunden Support vorzusehen, der erfahrungsgemäß teuer ist, wenn nicht bereits ein 24h Call Center im Unternehmen vorhanden ist
- Bei externen Ombudspersonen sind die hohen Stundensätze der ausführenden Anwälte sicherlich für kleine Firmen eher abschreckend
- Bei der Postfachlösung muss die Poststelle als vertrauenswürdig eingestuft werden und eine Trennung der Datenverarbeitung der öffnenden Personen vom restlichen Briefverkehr scheint aus Datenschutzgründen sinnvoll
- Die Anrufbeantworter Lösung erfüllt nicht die Anforderungen, wenn Anonymität bei der Abgabe erlaubt ist, denn bei unterdrückter Nummer besteht keine Möglichkeit Rückfragen zu stellen und der Informationspflicht nachzukommen, welche Gegenmaßnahmen nun konkret getroffen wurden
- Bei der Software-Lösung braucht es in der Regel einen Auftragsdatenverarbeitungsvertrag und eine externen Anbieter, da in der Regel die eigene IT Abteilung nicht in der Lage ist, geeignete Verschlüsselungs-Maßnahmen zu ergreifen
Fazit
Die Einrichtung einer Meldestelle ist mit vielen Fallstricken verbunden und eine sehr individuelle Sache. Mit der DIN ISO 37002 steht ein brauchbarer praktischer Leitfaden zur Verfügung, wie man die Einrichtung angehen sollte. Am Ende entscheiden aber weitere unternehmensspezifische Faktoren, wie und in welcher technischen Form die Meldestelle im Unternehmen eingerichtet werden sollte.
Sollten Sie Fragen bei der Einrichtung einer Meldestelle nach DIN ISO 37002 haben, so bieten wir Ihnen eine kostenlose Erstberatung an, in der wir feststellen, welche Form der Meldestelle bei Ihnen am sinnvollsten erscheint und mit welchen technisch-organisatorischen Maßnahmen diese wahrscheinlich verbunden sein wird.