Ein Whistleblowersystem planen

Wie müsste man vorgehen, wenn man ein Hinweisgebersystem einrichten will? Die schnellste Lösung verspricht die Suchmaschine des Vertrauens: „Whistleblowersystem“ eingeben und sehen was dabei herauskommt. Anbieter für technische Lösungen gibt es genug und die sind anscheinend günstig zu haben. Wo ist der Haken? Beim TCO (Total Cost of Ownership), denn da spielen die Anschaffungskosten nicht die entscheidende Rolle. Wer am Anfang die Weichen in die richtige Richtung stellen will, sollte sein Whistleblowersystem sorgfältig planen.

Dazu eignet sich der internationale Standard ISO 37002:2021. Er wendet den bewährten PDCA-Zyklus an, um planmäßig die beabsichtigten Ziele zu erreichen. Dieser Ansatz soll im Folgenden weiter verfolgt werden.

Der PDCA-Zyklus hilft, ein Whistleblowersystem zu planen
PDCA-Zyklus eines Whistleblowersystems

Whistleblowersystem planen, Schritt eins: Ziele festlegen!

Voraussetzung für die Planung sind klar umrissene und realistische Ziele. Was will das Unternehmen mit dem Hinweisgebersystem erreichen?

Noch gibt es für deutsche KMU keine Rechtspflicht, ein Hinweisgebersystem einzurichten. Das wird sich allerdings ändern, denn die Umsetzungsfrist der EU-Richtlinie zum Hinweisgeberschutz endet am 17.12.2021. Der Mittelstand hat danach noch 2 Jahre Zeit, Meldekanäle für interne Hinweisgeber zum verbesserten EU Hinweisgeberschutz bereit zu stellen.

Aber schon heute gilt die Legalitätspflicht nach §§ 30, 130 OWiG. Danach müssen z.B. Unternehmen bei erkennbar erhöhtem Korruptionsrisiko ihre Mitarbeiter angemessen und wirksam beaufsichtigen. Whistleblowersysteme spielen hier eine wichtige Rolle. Anerkannte internationale Standards verlangen oder empfehlen ihre Einrichtung.

ISO 37001:2016 8.9Äußern von Bedenken
ISO 37301:2021 8.3Äußern von Bedenken
IDW PS 980A14Einrichtung Hinweisgeberverfahren

Angemessen und wirksam, das sind die Schlüsselbegriffe, um die es geht. Daraus lassen sich die folgenden Ziele ableiten. Das Whistleblowersystem soll

  • Hinweise auf Fehlverhalten ermöglichen und fördern,
  • den Hinweisgeber und sonstige Betroffene unterstützen und schützen,
  • sicherstellen, dass Hinweisen zügig und professionell nachgegangen wird,
  • die Struktur und Kultur der Organisation verbessern und
  • das Risiko von Fehlverhalten senken.

Schritt zwei: Anwendungsbereich festlegen.

Bevor die konkrete Planung beginnen kann, muss noch der Anwendungsbereich des Hinweisgebersystems festgelegt werden. Am Anfang steht die Analyse des Unternehmens und seines Umfelds. Dann müssen die sogenannten Stakeholder identifiziert, ihre jeweiligen Bedürfnisse verstanden und ihre Erwartungen an das Unternehmen aufgenommen werden.

So führt zum Beispiel das Lieferkettensorgfaltspflichtengesetz (LkSG) dazu, dass große Konzerne im Rahmen ihres Compliance-Risikomanagements von ihren Zulieferern ein angemessenes Hinweisgebersystem nach § 8 LkSG verlangen. Daraus ergibt sich dann als Anwendungsbereich des Whistleblowersystems: Die Verletzung der Rechte von betroffenen Menschen in der Lieferkette.

Schritt drei: Make or Buy?

Erst wenn geklärt ist, was das Unternehmen mit dem Whistleblowersystem erreichen will und welchen konkreten Anwendungsbereich es haben soll, können die dazu erforderlichen Personal- und Sachmittel abgeschätzt werden.

Für Compliance-Abteilungen: Make.

Eine gut ausgestattete Compliance-Abteilung kann ein angemessenes Hinweisgeberverfahren in der Regel ohne erheblichen Zusatzaufwand einrichten. Unabhängigkeit, Vertraulichkeit und gut dokumentierte Compliance-Prozesse gewährleisten nicht nur die professionelle Bearbeitung der Hinweise, sondern auch den nachweisbaren Schutz des Hinweisgebers vor Vergeltung. Die zusätzlich erforderliche Mitarbeiterkapazität kann gut anhand der Compliance-Risiken abgeschätzt werden. Erfahrungsgemäß lohnt es sich, eine technische Lösung zum anonymen Whistleblowing einzuführen. Die sollte Rückfragen unterstützen.

Für KMU, die ein Whistleblowersystem planen: Buy.

Bei kleinen und mittlere Unternehmen in Deutschland haben sich bisher formale Compliance-Programme nicht durchgesetzt und es wird zurecht in Zweifel gezogen, ob sich der Aufwand für die Einrichtung und den Betrieb lohnen würde. Die Bundesregierung hat im Regierungsentwurf zum Verbandsanktionengesetz – VerSanG auf S. 79 auch zugestanden, dass mittelständische Unternehmen mit geringen Risiken keine Compliance-Programme einkaufen müssen. Einfache Maßnahmen reichen aus.

Das führt allerdings dazu, dass bei KMU die wesentlichen Voraussetzungen für den erfolgreichen Betrieb einer Whistleblower-Hotline erst geschaffen werden müssen:

  • Unabhängigkeit,
  • Vertraulichkeit und
  • gut dokumentierte Prozesse, die nicht nur die professionelle Bearbeitung der Hinweise, sondern auch den nachweisbaren Schutz des Hinweisgebers vor Vergeltung gewährleisten.

Die Beauftragung eines Ombudsmanns ist eine erwägenswerte Alternative.