Warum anonyme webbasierte Meldesysteme wichtig sind

Beitrag als PDF (Download)

Im Oktober 2019 hat die Europäische Union die Whistleblower-Richtlinie1 zum Schutz von Hinweisgebern („EU-Richtlinie“) verabschiedet, die Unternehmen verpflichtet, geeignete Hinweisgebersysteme zu implementieren. Die Mitgliedstaaten müssen die Richtlinie innerhalb von zwei Jahren in nationales Recht überführen, allerdings wird es – unter anderem vor dem Hintergrund der neuen Regierungsbildung – in diesem Jahr kein neues Gesetz mehr in Deutschland geben. Dennoch sollten sich Unternehmen spätestens jetzt die Frage stellen, wie ihr zukünftiges oder bereits implementiertes Hinweisgebersystem (um)gestaltet werden soll. Zwar verfügen laut Whistleblower Report 2021 von Integrity Line etwa drei Viertel aller Unternehmen mit 250 Mitarbeitern oder mehr bereits über ein Hinweisgebersystem, doch nur jedes siebte Unternehmen erfüllt die Anforderungen der Richtlinie.2

Was muss ein Hinweisgebersystem können, um die EU-Richtlinie zu erfüllen?

Ziel der EU-Richtlinie ist „eine bessere Durchsetzung des Unionsrechts […] durch die Festlegung gemeinsamer ­Mindeststandards, die ein hohes Schutzniveau für Personen sicherstellen, die Verstöße gegen das Unionsrecht melden“.3 Dieses Ziel soll unter anderem mit einer Pflicht zur ­Einrichtung interner Meldekanäle4 erfüllt werden und gilt für alle Unternehmen und Organisationen mit über 249 Mitarbeitern, die sowohl im privaten als auch im öffentlichen Bereich tätig sind. Die Anforderungen umfassen folgende Merkmale:

  • Möglichkeit zur mündlichen oder schriftlichen Meldung
  • Erstellung von Verfahren und Kanälen für Meldungen mit Folgemaßnahmen
  • Maßnahmen zum Schutz der Identität von Hinweisgebern sowie Dritter
  • Generierte Empfangsbestätigung innerhalb einer Woche
  • Rückmeldung an Hinweisgeber innerhalb von drei Monaten
  • Sicheres Dokumentieren aller Meldungen
  • Konkrete Maßnahmen zur Verhinderung von Repressalien

Die EU-Richtlinie sieht nicht vor, dass die Mitgliedstaaten in der nationalen gesetzlichen Umsetzung Unternehmen dazu verpflichten müssen, anonyme Meldemöglichkeiten vorzuhalten. Es zeigt sich jedoch in der Praxis, dass Hinweisgeber diese Option bevorzugen: 73 Prozent der Hinweisgeber melden anonym, sofern sie die Möglichkeit dazu haben.5 Eine anonyme Meldeoption kann den Schutz vor Repressalien für Hinweisgeber erhöhen und folgt somit dem Telos der Richtlinie.

Warum die anonyme Meldemöglichkeit kein Einfallstor für missbräuchliche Nutzung ist

Im Zuge der Diskussion über die Ausgestaltung von webbasierten Meldesystemen äußern Verantwortliche von Unternehmen häufiger Bedenken, anonyme Meldewege könnten den Missbrauch dieser Systeme fördern. Es besteht die Besorgnis, dass Meldungen mit falschem Inhalt abgegeben, andere Personen zu Unrecht verdächtigt oder Meldungen schlicht aus unlauteren Motiven abgegeben werden könnten.
Auch wenn diese Bedenken nachvollziehbar sind, stellt sich die Frage, ob in der Praxis der Aspekt der Anonymität einen wesentlichen Einfluss auf das Risiko des Missbrauchs von Meldesystemen aufweist. Statistisch ist die Gefahr der missbräuchlichen Nutzung des Meldesystems wahrscheinlich kleiner als vielfach angenommen: Erhebungen zeigen etwa, dass nur jede zehnte Meldung verleumderisch ist.6 Bei existierenden Meldesystemen, die viele Unternehmen bereits vor Inkrafttreten der EU-Richtlinie implementiert haben, kann vielfach bislang per E-Mail, Briefkasten oder telefonisch Kontakt zu den verantwortlichen Stellen aufgenommen werden. Für diese Unternehmen ist mit der Einführung eines neuen webbasierten Systems mit anonymer Meldeoption nicht mit einem sprunghaften Anstieg von Missbrauch zu rechnen, da die obengenannten Altsysteme sich bereits weitestgehend anonym nutzen ließen.

Unternehmen, die bislang noch kein offizielles Hinweisgebersystem implementiert haben, sollten nach Einrichtung zwangsläufig mit einem Grundaufkommen an Meldungen rechnen. Damit geht statistisch gesehen auch eine Zahl an missbräuchlichen Meldungen einher. Die Ursache dafür ist allerdings nicht in der anonymen Meldeoption zu verorten: Im Kontext von unternehmensinternen Untersuchungen begegnet man falschen Verdächtigungen immer wieder. Sie werden unabhängig von offiziell eingesetzten Meldesystemen bereits jetzt auf unterschiedlichste Art und Weise „wild“ abgesetzt, etwa durch anonyme Briefe, gezieltes Verbreiten von Gerüchten oder sogar durch das Verbreiten von falschen Informationen in Social Media & Co. Es zeigt sich, dass eine Person, die sich in unredlicher bzw. sogar schädigender Motivation zu einer falschen oder missbräuchlichen Meldung entschlossen hat, ihre Entscheidung überwiegend nicht davon abhängig macht, ob ein offizielles System zur Verfügung steht. Diese Meldenden, die ein Hinweisgebersystem missbräuchlich nutzen möchten, hätten bei einem webbasierten Hinweisgebersystem auch ohne offizielle Anonymitätsfunktion weiterhin die Möglichkeit, sich nicht identifizierbar zu machen, indem sie falsche Kontaktdaten (z. B. Fake-E-Mail-Adresse, falscher Name) angeben. Falls diese Meldenden kein erdachtes Pseudonym, sondern die Identität eines Dritten angeben würden, wäre die Untersuchung des Falls sogar zusätzlich erschwert. Eine Abgabe missbräuchlicher Hinweise kann also nicht verhindert werden, bloß weil die anonyme Meldeoption nicht gegeben wird.

Fünf Maßnahmen, um einer missbräuchlichen Nutzung zu begegnen

Die Lösung liegt insoweit nicht darin, das anonyme Melden zu untersagen, sondern vielmehr darin, eine angemessene Kultur im Umgang mit Meldesystemen zu schaffen und ein geeignetes Verfahren für den Umgang mit Meldungen zu etablieren.

Die Qualität eines Risikomanagements ist abhängig vom Umfang der zugrundeliegenden Informationsbasis. ­Existieren blinde Flecken aufgrund eines vermeintlichen Ehrenkodex, der zum Schweigen verpflichtet, kann dies ein Unternehmen teuer zu stehen kommen und unter Umständen die Sicherheit der Mitarbeiter gefährden. Der richtige Umgang mit ­Meldungen ist der Schlüssel für eine ­angemessene ­Nachbereitung. Daher ist zunächst jeder Hinweis als hilfreich zu betrachten. Ob die meldende Person Beobachtungen in redlicher Absicht berichtet, die sie als Verstoß gegen interne Richtlinien oder Gesetze versteht und sogar ­Schaden vom Unternehmen abwenden will, oder ob die ­Meldung ­jemandem ein willkommener Anlass ist, unliebsame ­Kollegen ­wegen möglichen Fehlverhaltens „anzuschwärzen“, ändert am Mehrwert der Meldung in der Regel nichts. Das Unternehmen hat in beiden Fällen eine möglicherweise ­wertvolle Information erhalten, der nachgegangen werden muss.

Die Herausforderung für Unternehmen besteht also nicht darin, zu versuchen, missbräuchliche Meldungen durch fehlende anonyme Meldeoptionen zu verhindern, sondern diese als verleumderisch und möglicherweise unsubstantiiert zu erkennen und damit entsprechend umzugehen.

Es empfiehlt sich, zum Schutz des Unternehmens oder etwaiger fälschlich Beschuldigter präventive Maßnahmen zu ergreifen. Einige Beispiele für solche Maßnahmen sind:

1. Eine Vorprüfung bzw. Sichtung der Meldung durch unabhängige Analysten zur Sicherstellung einer unvoreingenommenen Erstbetrachtung und Klassifizierung der Sachverhalte (First Line Review).
2. Für die Nachverfolgung eines Falls sollten klare Prozesse und Verantwortlichkeiten definiert werden, die eine objektive und transparente Beweislagenprüfung gewährleisten und den Schutz von Hinweisgebern, aber auch von Hinweisbetroffenen sicherstellen.
3. Die EU-Richtlinie sieht vor, dass Mitarbeiter, die für die Aufnahme und Bearbeitung von Whistleblowing-Meldungen verantwortlich sind, regelmäßig geschult werden sollten. Auch das übrige Personal sollte in Compliance-Schulungen darüber aufgeklärt werden, wozu das Hinweisgebersystem dient und wie man verantwortungsvoll und korrekt damit umgeht.
4. Es sollten klare Regeln bezüglich der Sanktionierung einer missbräuchlichen Nutzung des Hinweisgebersystems im Code of Conduct festgehalten werden. Diese Maßnahme setzt ein eindeutiges Statement der Unternehmensführung, dass die missbräuchliche Verwendung des Systems kein Kavaliersdelikt ist und Konsequenzen hat.
5. Die langfristige Etablierung einer Berichtskultur ist ein wichtiger Bestandteil, um einen kontinuierlichen Verbesserungsprozess im Sinne von Risiko-Management- und Compliance-Management-Systemen zu leben. Das Meldesystem ist ein wesentlicher Teil davon.

Fazit

Unternehmen sollten sich von der Vorstellung lösen, sie könnten allein durch die Gestaltung ihres ­Hinweisgebersystems eine missbräuchliche Nutzung verhindern. Da fast drei ­Viertel der Hinweisgeber ihre Meldungen bevorzugt anonym abgeben, könnte ein Verweigern dieser Möglichkeit dazu führen, dass diese Hinweisgeber andere Kanäle (bspw. Social Media oder öffentliche Hinweisgeberkanäle) für den Bericht über Missstände nutzen. Daher sollten Unternehmen danach streben, möglichst alle Hinweise einschließlich ­missbräuchlicher über ein internes Hinweisgebersystem zu kanalisieren.
Die Frage für Unternehmen bei der Einführung eines ­Hinweisgebersystems lautet nicht: „Anonyme ­Meldeoption, ja oder nein?“, sondern: „Wie kann ich eine ­Organisationskultur etablieren, die missbräuchliche Meldungen minimiert?“ Da sich missbräuchliche Meldungen niemals gänzlich ­verhindern lassen, sollten zusätzlich Prozesse implementiert werden, die Hinweisgeber und (vermeintliche) Urheber von Missständen gleichermaßen schützen.

1 Richtlinie EU 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.
2 https://www.integrityline.com/expertise/whistleblowing-report/ (abgerufen am 05.11.2021).
3 Richtlinie EU 2019/1937, Art. 1.
4 Richtlinie EU 2019/1937, Art. 8.
5 https://www.integrityline.com/expertise/whistleblowing-report/ (abgerufen am 05.11.2021).
6 https://www.integrityline.com/expertise/whistleblowing-report/ (abgerufen am 05.11.2021).

 

sfiedler@deloitte.de
patschneider@deloitte.de
cihle@deloitte.de
acmarx@deloitte.de

Aktuelle Beiträge