Durch die EU-Whistleblower-Richtlinie werden Unternehmen des öffentlichen und privaten Sektors in Europa erstmals flächendeckend verpflichtet, Hinweisgebersysteme und entsprechende Meldeprozesse einzuführen. Eine solche Systemeinführung bringt einige Herausforderungen mit sich, denen sich die betroffenen Adressaten stellen müssen. Das Zauberwort lautet: holistisches Whistleblowing Management.

Obwohl laut einer Studie der Association of Certified Fraud Examiners (ACFE) fast 40 Prozent der Financial-Crime-Fälle über internes Whistleblowing aufgedeckt werden, waren Hinweisgebersysteme in Österreich bisher wenig verbreitet. Das wird sich mit Herbst 2021 schlagartig ändern, da die EU-Mitgliedstaaten ab dann zur Umsetzung der Whistleblowing-Richtlinie verpflichtet sind. Dadurch wird erstmals ein EU-weiter branchen- und sektorübergreifender Mindeststandard für die gesetzliche Einführung von Hinweisgebersystemen gesetzt, Vorgaben zu den Meldeprozessen sowie zum Schutz der Hinweisgeber inklusive. Somit bleiben noch knapp zwei Jahre, um sich mit den neuen Vorgaben vertraut zu machen.

Mehr als nur eine Systemeinführung

Svetlana Gandjova ist Partnerin bei Deloitte Österreich. - © Deloitte / feelimage
Svetlana Gandjova ist Partnerin bei Deloitte Österreich. - © Deloitte / feelimage

Um im Herbst 2021 gerüstet zu sein, sollten betroffene öffentliche und private Organisationen bereits jetzt mit der Evaluierung der neuen Norminhalte beginnen. Ein ganzheitliches Whistleblowing Management muss sich mit der Auswahl und Implementierung eines Hinweisgebersystems, der entsprechenden Governance-Gestaltung innerhalb der Organisation und dem Aufsetzen des Meldeprozesses auseinandersetzen. Dabei müssen technologische, prozessuale und rechtliche Aspekte einbezogen sowie eine Kommunikationskampagne in der Organisation eingeplant werden.

Shahanaz Müller ist Senior Managerin bei Deloitte Österreich. - © Deloitte /feelimage
Shahanaz Müller ist Senior Managerin bei Deloitte Österreich. - © Deloitte /feelimage

Zu Beginn steht die Auswahl eines geeigneten Systems. Diese orientiert sich an Rechtsform, Tätigkeitsfeld sowie sprachlichem und kulturellem Umfeld der betroffenen Organisation. Laut ACFE werden die meisten Fälle über Telefon-Hotlines angezeigt. Trotzdem wird in der Praxis oft webbasierten Systemen der Vorzug gegeben - Vorteile sind ständige Verfügbarkeit und geringer Implementierungsaufwand. Bei der Systemauswahl sollten gleich datenschutz- und arbeitsrechtliche Aspekte berücksichtigt werden. Zusätzlich sollte die Kompatibilität des Systems mit internationalen Vorschriften überprüft werden. Das ist insbesondere dann wichtig, wenn die Daten an eine ausländische Mutter übermittelt werden oder ein österreichisches Unternehmen über eine ausländische Tochtergesellschaft verfügt.

Prozesse müssen
definiert werden

Anschließend müssen die nötigen Prozesse definiert werden. Das betrifft den gesamten Ablauf, vom Eingang der Meldung über deren Bearbeitung bis hin zum Abschluss. In der EU-Richtlinie werden grundsätzlich zu meldende Inhalte - wie Daten- und Umweltschutz - aufgeführt. Abhängig vom unternehmensinternen Verhaltenskodex ist aber erfahrungsgemäß eine Erweiterung notwendig. Bei der Bearbeitung einer Meldung gilt das Vier-Augen-Prinzip. Auch ist eine gewisse Schnelligkeit vonnöten. Der Hinweisgeber muss binnen drei Monaten eine Rückmeldung erhalten. Abhängig vom Umfang des gemeldeten Missstands kann das zu einem hohen Zeitdruck führen. Für einen reibungslosen Ablauf muss der gesamte Prozess nachvollziehbar, transparent und effizient sein.

Wie erwähnt muss bereits bei der Systemauswahl auf die Einhaltung arbeits- und datenschutzrechtlicher Vorgaben geachtet werden. Bei einem umfassenden Whistleblowing-Management müssen die entsprechenden Stellen wie Betriebsrat und Datenschutzbeauftragter zwingend eingebunden werden. Es kann außerdem auch sinnvoll sein, externe Experten zu involvieren. Vor allem wenn mehrere Jurisdiktionen betroffen sind, kann dies den Implementierungsaufwand enorm erhöhen. Bei der internen und externen Kommunikation ist der "Tone from the Top" entscheidend. Das Management sollte eine klar positive Einstellung im Hinblick auf die gesetzliche und strategische Notwendigkeit eines solchen Systems zur Aufdeckung von Missständen vertreten. Es muss klargestellt werden: Hinweisgeber sind keine Denunzianten.

Die EU-Whistleblower-Richtlinie ist bis Herbst 2021 von den betroffenen Organisationen der Mitgliedstaaten umzusetzen. Unternehmen sollten bereits jetzt eine Evaluierung zur bestmöglichen Umsetzung der Vorgaben vornehmen. Eine umfassende Auseinandersetzung mit dem Thema braucht Zeit - die ist jetzt noch vorhanden, aber die Zeit drängt.

Sie sind anderer Meinung?

Diskutieren Sie mit: Online unter www.wienerzeitung.at/recht oder unter recht@wienerzeitung.at