Die Verabschiedung eines österreichischen Gesetzes zum Schutz von Hinweisgebenden ist eine Frage der Zeit. Für sämtliche Organisationen gilt also: Sie können zwar vor der Implementierung eines Hinweisgebersystems weglaufen, verstecken können sie sich langfristig davor aber nicht. Doch welche Maßnahmen kann man auch ohne Gesetz bereits setzen?

Die Frist zur Umsetzung der EU-Richtlinie zum Schutz von Hinweisgebern (RL EU 2019/1937) in nationale Gesetze endete bereits mit dem 17. Dezember 2021. Bis heute liegt in den wenigsten Mitgliedstaaten eine nationale Gesetzgebung vor. In Österreich lag zu Redaktionsschluss ein Gesetzesentwurf zur Begutachtung vor – die Umsetzung ist somit in greifbarer Nähe.

Vorbereitungen starten

Prinzipiell ist ein Whistleblowersystem ein wesentliches Element eines Compliance Managements. Es sollte daher nicht nur aufgrund gesetzlicher Anforderungen implementiert werden. Wer allerdings aktuell auf Nummer sicher gehen möchte und sich noch abwartend zeigt, kann auch bevor das Gesetz veröffentlicht wird, einige vorbereitende Maßnahmen treffen. Da die Implementierung Aufwand für das Unternehmen bedeutet, ist es wichtig, rechtzeitig damit zu beginnen. Insbesondere Unternehmen, die noch über keine etablierten Compliance-Strukturen verfügen, sollten sich zeitnah Gedanken zur Umsetzung machen.

Meldekanal festlegen

Die Art des Meldekanals (zB Ombudsperson, Telefon, E-Mail, digitales System etc) ist für die Unternehmen grundsätzlich frei wählbar. Hinweisgeber:innen muss es möglich sein, schriftlich oder mündlich Meldung zu erstatten. Ungeklärt ist aktuell, ob nur die in der Richtlinie geforderte vertrauliche oder auch eine anonyme Meldung ermöglicht werden muss. Unternehmen sollten sich überlegen, ob sie nicht jedenfalls anonyme Meldemöglichkeiten schaffen möchten.

Wer sich bereits jetzt für ein digitales System entscheidet, kann nichts falsch machen. Diese Systeme haben den Vorteil, dass sie immer verfügbar sind, eine Kommunikation mit Hinweisgeber:innen erlauben, selbst wenn sie anonym melden und ein effizientes Fall-Management gewährleisten. Darüber hinaus ist die Einhaltung der Rückmeldefristen, wie sie in der Richtlinie vorgesehen sind (zB sieben Tage nach Eintreffen des Hinweises), sichergestellt. Der entscheidende Vorteil eines digitalen Hinweisgebersystems liegt in der einfachen und sicheren Ausgestaltung eines richtlinienkonformen Meldekanals. Falls die Tendenz zu einem digitalen Hinweisgebersystem vorhanden ist, steht der Einholung von Angeboten nichts im Wege. Unternehmen sollten jedoch die Anforderungen vorab genau definieren (zB Barrierefreiheit, Fall-Management Möglichkeiten, Sprachen etc), damit sie unter den vielen Systemen am Markt, das für die Organisation passendste finden.

Strukturen schaffen

Unabhängig von der Art des Meldekanals sind auch arbeits- sowie datenschutzrechtliche Aspekte zu berücksichtigen, die zu langwierigen, oft unerwarteten Verzögerungen, führen können. Unternehmen sollten bereits frühzeitig überlegen, wen sie in die Implementierungsarbeiten einbeziehen müssen und welche Stakeholder jedenfalls involviert werden sollten.

Was uns gleich zum nächsten Schritt führt, der organisatorischen Einordnung und den internen Abläufen. Wer soll für den operativen Betrieb des Systems zuständig sein? Werden die Aufgaben einer internen oder einer externen Stelle übertragen? Als geeignete interne Fallbearbeiter haben sich Interne Revisions- und Compliance-Abteilungen herauskristallisiert. Jedenfalls muss die Stelle unabhängig sein. Darüber hinaus müssen Vorkehrungen getroffen werden, falls diese selbst von einer Meldung betroffen sind. Falls das Hinweisgebersystem extern betrieben wird, können Unternehmen bereits jetzt Angebote einholen und eine Auswahl treffen. Neben den Personen, die Hinweise entgegennehmen und prüfen, benötigen Unternehmen definierte Ressourcen und Prozesse, für den Fall, dass ein Hinweis eine Sonderuntersuchung auslöst. Auch hier können schon interne Strukturen geschaffen und professionelle Unterstützung gesichert werden. Ein Rahmenvertrag mit Forensic-Expert:innen stellt eine rasche Reaktionsmöglichkeit im Ernstfall sicher. Es empfiehlt sich somit, einen standardisierten und strukturierten Ablauf zur Bearbeitung von Hinweisen sowie für die Untersuchung des potenziellen Fehlverhaltens frühzeitig zu definieren. So verliert man im Fall der Fälle nicht wertvolle Zeit mit der Sondierung der Reaktionsmaßnahmen und der compliancekonformen Einholung von Vergleichsangeboten.

Eine weitere Überlegung ist, ob das System nur für interne Meldende vorgesehen ist oder auch für Externe (Lieferanten, Kund:innen, sonstige Dritte etc) erreichbar sein soll. In diesem Zusammenhang sind dann jedenfalls die Erreichbarkeit der Meldekanäle sowie etwaige Sprachbarrieren zu berücksichtigen.

Eine wertvolle Chance

Diese Beispiele zeigen: Bereits vor einer nationalen Gesetzgebung können Vorbereitungsmaßnahmen getroffen werden. Generell sollten sich Unternehmen darüber bewusst sein, dass der Nutzen eines Hinweisgebersystems viel höher als die bloße Erfüllung gesetzlicher Anforderungen ist. Ohne ein den Vorgaben der Whistleblower-Richtlinie entsprechendes Hinweisgebersystem erhöhen Unternehmen das Risiko deutlich, dass potenzielle Hinweisgeber nicht intern melden, sondern sich an externe Stellen, dh Strafverfolgungsbehörden oder Medien, wenden. Das bedeutet, dass den Unternehmen damit die Möglichkeit genommen wird, sich selbst um den Compliance-Vorfall zu kümmern. Sie sind dann nicht mehr in der Lage, selbst zu steuern. Negative Berichterstattung, die zu einem Reputationsverlust führt, kann die Folge sein.

Unternehmen sollten ein Hinweisgebersystem als Chance verstehen, bis dato unbekannte Risiken und/oder bestehendes Fehlverhalten in der Organisation früher zu identifizieren und in Zukunft vermeiden zu können. Unternehmen sollten keinesfalls vor der Implementierung eines Hinweisgebersystems davonlaufen, sondern die Chancen, die sich für ihre Organisation daraus ergeben, unbedingt nutzen.