Whistleblowing Software
Der Begriff „Whistleblowing Software“ ist die englische Bezeichnung für „Hinweisgeber-Software“. Beide Bezeichnungen werden synonym verwendet.
1. Was ist Whistleblowing Software?
Durch Whistleblowing Software bieten Unternehmen und Organisationen ihren Mitarbeitern sowie anderen Stakeholdern einen geschützten Kommunikationskanal an. Das System ermöglicht es Whistleblowern (Hinweisgebern), Verstöße, die sie beobachtet haben, an das Unternehmen zu melden. Die Whistleblowing Software hat die Aufgabe, eine vertrauliche Kommunikation zwischen Hinweisgeber (z.B. Mitarbeiter) und Hinweisempfänger (z.B. Compliance-Beauftragter des Unternehmens) zu ermöglichen. Vertraulichkeit entsteht durch den Schutz der Identität des Hinweisgebers. Um Identitätsschutz zu gewährleisten, ermöglichen viele Whistleblowing-Software-Systeme eine anonyme Kommunikation.
Sichere Whistleblowing Software garantiert anonyme Kommunikation über ihren technischen Aufbau: Der Whistleblower nutzt die Meldeplattform, die er über jeden Webbrowser mit Internetverbindung erreicht. Die Meldeplattform wird nicht vom Hinweisempfänger (Unternehmen/Organisation) betrieben, sondern vom Anbieter der Whistleblowing Software. Das stellt sicher, dass der Hinweisempfänger keinen Zugriff auf Nutzerdaten erhält. Sichere Systeme garantieren darüber hinaus, dass sämtliche Daten Ende-zu-Ende verschlüsselt werden. Nach Abgabe eines Hinweises sendet die Meldeplattform die Nachricht an den Hinweisempfänger. Der Hinweisempfänger kann nun den eingegangenen Hinweis lesen, begutachten und über die Funktionen im Case-Management strukturiert und fristgerecht bearbeiten.
Bei Rückfragen an den Whistleblower sendet der Hinweisempfänger eine Nachricht über das Case-Management an die Meldeplattform. Der Hinweisgeber erhält diese Nachricht, indem er regelmäßig sein anonymes Postfach (geschützt durch Passwort und ID) kontrolliert. Diese Art der anonymen Kommunikation ermöglicht eine Prüfung und Konkretisierung eingehender Hinweise ohne dass der Hinweisgeber seine Identität preisgibt.
2. Welche anderweitigen Whistleblowing Systeme gibt es?
Ein Whistleblowing-System muss nicht zwingend mittels Software betrieben werden. Geläufig sind eine Reihe weiterer Methoden:
- Eine Ombudsperson, die Hinweise persönlich entgegennimmt und vertraulich an das Unternehmen weiterleitet
- Die Etablierung einer Telefonhotline, die Whistleblower anrufen. Hinweise können auf eine Mailbox gesprochen oder im persönlichen Gespräch berichtet werden.
- Die Übermittlung von Hinweisen per Post oder über einen eigens installierten Briefkasten.
3. Warum ist es sinnvoll, Whistleblowing Software zu nutzen?
Whistleblowing Software hat sich als Best Practice durchgesetzt, da anderweitige Systeme – je nach Einsatzbedingungen – Nachteile mit sich bringen:
- Die mündliche Hinweisübergabe an eine Ombudsperson kann nicht anonym erfolgen. Der Hinweisgeber muss darauf vertrauen, dass die Ombudsperson die Identität des Hinweisgebers vertraulich behandelt. Weiterer Nachteil: Die Kosten für Ombudspersonen übersteigen in der Regel die Kosten für ein Softwaresystem.
- Fehlende Anonymität kann auch ein Nachteil der Telefon-Hotline für Hinweisgeber sein. Der Hinweisgeber weiß nicht, ob seine Stimme verfremdet wird. Er muss außerdem darauf achten, dass seine Telefonnummer nicht angezeigt wird. Ruft der Hinweisgeber aus dem betriebseigenen Telefonnetz an, könnte eine Rückverfolgung über Anrufzeit und Anrufdauer auch mit unterdrückter Telefonnummer möglich sein. Ein weiterer Nachteil: Die mündliche Kommunikation erfordert eine „Übersetzung“ ins Schriftliche zur Dokumentation und Bearbeitung. Missverständnisse sind eine mögliche Folge.
- Die Übermittlung eines Hinweises per Post kann bei Beachtung einiger Regeln anonym gestaltet werden. Die Vermeidung von Handschrift reicht jedoch nicht aus – theoretisch kann auch nachgewiesen werden, aus welchem Drucker ein Ausdruck stammt. Wirklich problematisch ist die Methode eines öffentlich zugänglichen Briefkastens. Hinweisgeber können beim Einwurf des Briefes beobachtet werden. Was in jedem Fall bei postalischer Übermittlung von Hinweisen nicht möglich ist: Nachfragen an den Whistleblower, um die Plausibilität eines Hinweises zu prüfen.
Ein Software-System, das Anonymität garantiert, ist aus einem weiteren Grund die favorisierte Lösung für viele Unternehmen: Der einfache Zugang und die Sicherheit beim Identitätsschutz motivieren zur Hinweisabgabe. Der Gang zur Ombudsperson oder das Telefongespräch mit einem Unbekannten kostet Überwindung, sobald es um sensible Themen geht. Eine leicht zu erreichende Webseite, von deren Sicherheit der Hinweisgeber überzeugt ist, baut die Hemmung ab, Verstöße zu melden. Selbstverständlich ist nicht jeder Verstoß, der gemeldet wird, schwerwiegend. Aber ein schwerwiegender Verstoß, der nicht gemeldet wird kann das Potenzial haben, ein ganzes Unternehmen massiv zu schädigen. Unternehmen haben ein großes Interesse daran, potenziell geschäftsgefährdende Verstöße so früh wie möglich zu erfahren, um schnell zu intervenieren. Daher ist es sinnvoll, mit Whistleblowing Software die Barrieren für eine Meldungsabgabe so gering wie möglich zu halten.
4. Worauf sollten Unternehmen achten, die eine Whistleblowing Software einführen möchten?
Unternehmen und Organisationen, die ein Whistleblowing-System einführen, machen das aus ganz unterschiedlichen Gründen. Ein Hauptgrund wird jedoch in den meisten Fällen sein, der EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern zu entsprechen. Die sogenannte „Whistleblowing Richtlinie“ schreibt vor, dass Unternehmen und öffentliche Einrichtungen ab einer gewissen Größe einen Meldekanal anbieten müssen, der den Identitätsschutz des Hinweisgebers sicherstellt (Frist: Ende 2021). Eine grundsätzliche Frage vor der Einführung einer Whistleblowing Software sollte daher sein, ob das System anonyme Kommunikation ermöglicht. Anonymität ist schließlich der beste Identitätsschutz. Weitere Eigenschaften, die vor der Implementierung abgeklärt werden sollten betreffen die IT-Sicherheit und Datenschutzanforderungen. Ob und mit welcher Methode das System Daten verschlüsselt, ist eine elementare Frage – sowohl für die IT-Sicherheit als auch die Datenschutz-Konformität. Ebenfalls wichtig: der Standort der Server, auf denen Daten gespeichert werden.
Neben den Bestimmungen, die die EU-Richtlinie vorgibt, müssen Unternehmensanforderungen im Blick behalten werden. Ein Konzern benötigt beispielsweise eine Lösung, die Fallzuordnung und Berechtigungen abhängig von Organisationseinheiten zulässt. Gehen eine große Anzahl an Hinweisen ein, ist es sinnvoll, über ein System nachzudenken, das bei einer strukturierten Bearbeitung unterstützt. Dazu zählen unter anderem Workflows zur standardisierten Fallbearbeitung, Vorlagen für ein effizientes Vorgehen und ein automatisiertes Monitoring, das den Nutzer vor anstehenden Bearbeitungsfristen warnt.
Für kleinere Unternehmen hingegen, die mit nur wenigen Hinweisen pro Jahr rechnen, kann bereits ein Basis-System ausreichen. Wichtig ist in jedem Fall, dass vor Einführung einer Whistleblowing Software die unternehmensinternen Zuständigkeiten und Zugriffsrechte geklärt werden: Welche Stelle ist für die Bearbeitung zuständig? Wer hat außerdem Zugriff auf das System? Wer übernimmt die Administration? Soll das System an die zentrale Benutzerverwaltung angebunden werden? Fragen dieser Art sollten vor Anschaffung einer Whistleblowing Software geklärt werden – auch um vorab zu prüfen, ob die zur Auswahl stehenden Lösungen überhaupt in der Lage sind, die internen Anforderungen zu erfüllen.
Hinweisgebersystem
