Image
Mittels Hinweisgebersystem können Personen bei Regelverstößen einem Unternehmen die „rote Karte“ zeigen – auch im Mittelstand. 
Foto: Andreas Haertle - stock.adobe.com
Mittels Hinweisgebersystem können Personen bei Regelverstößen einem Unternehmen die „rote Karte“ zeigen – auch im Mittelstand. 

Sicherheitskonzepte

Hinweisgebersysteme im Mittelstand

Hinweisgeber, die Verstöße melden, müssen geschützt werden. Basis dafür ist ein entsprechendes Hinweisgebersystem auch im Mittelstand.

Ein Whistleblower, im Deutschen meistens Hinweisgeber genannt, ist der Begriff für eine Person, die wichtige Informationen, zum Beispiel zu Gesetzesverstößen, offen legt, wofür ein Hinweisgebersystem auch im Mittelstand implementiert sein muss.

Für Deutschland endete die Umsetzungsfrist der entsprechenden Richtlinie (EU) 2019/1937 am 17. Dezember 2021. Der deutsche Gesetzgeber hat die europäische Richtlinie allerdings nicht fristgerecht in nationales Recht umgesetzt. Das führt für die Unternehmen zur Rechtsunsicherheit, inwieweit sich Hinweisgeber schon jetzt auf den neuen, umfangreichen Schutz vor Repressalien berufen können.

Die EU-Hinweisgeber-Richtlinie schützt natürliche Personen, die Verstöße gegen das geltende Recht melden beziehungsweise veröffentlichen und deswegen als Hinweisgeber oder Whistleblower bezeichnet werden. Mitarbeiter eines Unternehmens, aber auch Dritte, sollen zukünftig die Möglichkeit bekommen, solche Verstöße dem betroffenen Unternehmen anonym melden zu können. Darum verpflichtet die Richtlinie Unternehmen mit mehr als fünfzig Mitarbeitern, Meldekanäle für Hinweisgeber einzurichten und Verfahren für die Bearbeitung der Meldungen sowie die Steuerung von Folgemaßnahmen zu etablieren. Viele Unternehmen, insbesondere im Mittelstand, stehen nun vor der Herausforderung, entsprechende Hinweisgeber-Systeme und Abläufe einzuführen.

Einführung eines Hinweisgebersystems laut The Auditfactory entsprechend kommunizieren

Basierend auf den Erfahrungen von The Auditfactory bei der Einführung eines solchen Systems geben wir an dieser Stelle einige Tipps. Die Meldung eines Vorfalls muss schriftlich oder mündlich möglich sein. Moderne Systeme bieten beides als integrierte Lösung an, zum Beispiel über eine Chatfunktion. Melden können grundsätzlich alle Personen, die im Rahmen ihrer beruflichen Tätigkeit mit Ihrem Unternehmen in Kontakt stehen, das heißt sowohl eigene Mitarbeiter als auch externe Geschäftspartner und deren Mitarbeiter. Es empfiehlt sich darum, die Kommunikation über das System an diese Zielgruppen auszurichten und sie zielgerichtet anzusprechen.

Die potentiellen Hinweisgeber müssen klare und leicht zugängliche Informationen über die Meldemöglichkeiten und die weiteren Abläufe erhalten. Dies kann zum Beispiel auf der Unternehmenswebsite erfolgen, aber auch in Form von Schulungen und Trainings, die zum Beispiel für ein Compliancemanagement-System durchgeführt werden. Auch kurze Erklärfilme sind dazu gut geeignet.

Die Bearbeitung der Hinweise muss die Vertraulichkeit des Hinweisgebers wahren und darf keinen Zugriff unbefugter Dritter auf die Meldungen zulassen. Das wird in den technischen Systemen durch entsprechende Vorkehrungen sichergestellt.

Sofern im Unternehmen ein Betriebsrat vorhanden ist, hat eine Abstimmung über die Einrichtung des Hinweisgebersystems zu erfolgen. Das System selbst ist nicht in jedem Fall zustimmungspflichtig, aber eine enge Kommunikation mit dem Betriebsrat ist ratsam, um dessen uneingeschränkte Akzeptanz für dieses sensible Thema zu haben. Eine frühzeitige Einbindung bereits vor der Entscheidung zur Einführung ist zu empfehlen.

Compliance-Rechtsschutz-Police entlastet Unternehmen

Compliance-Untersuchungen können für Unternehmen kostspielig werden. Eine Compliance-Rechtsschutz-Police trägt dazu bei, Unternehmen zu entlasten.
Artikel lesen

Herausforderung für den Mittelstand

Die Meldekanäle können intern betrieben, aber ebenso von einem Dritten bereitgestellt werden. Die Art und Weise der Ausgestaltung hängt im Mittelstand im Wesentlichen von den internen Ressourcen und den vorhandenen Kompetenzen ab. Unerfahrene Fallmanager werden bei der Einschätzung von Hinweisen eher Fehler machen; dies gilt es zu vermeiden. Ein externer Dienstleister kann von der Erstverifizierung bis zur Durchführung von Untersuchungen ein breites Spektrum an Möglichkeiten abdecken.

Die Bearbeitung von Meldungen muss durch geschulte, neutrale und objektive Personen erfolgen, die selbst keinem Interessenkonflikt ausgesetzt sind. Dies ist insbesondere in mittelständischen Unternehmen, die keinen eigenständigen Compliance-Bereich haben, schwer zu erfüllen. Denn sofern zum Beispiel der Personalbereich oder die Finanzabteilung stark in operative Abläufe involviert und eng an die Unternehmensleitung angebunden sind, fehlt oftmals diese notwendige Distanz.

Es versteht sich außerdem, dass alle Meldungen ausnahmslos beurteilt sowie bearbeitet werden müssen und die entsprechenden Fristen der EU-Richtlinie einzuhalten sind. Ob das im eigenen Unternehmen gelingt, muss geprüft und sichergestellt werden, auch im Krankheitsfall oder in der Urlaubszeit.

Foto: einzmedia/Pixelio

Rühlconsulting

Mittelstand mit Nachholbedarf bei Risikomanagement

Viele Unternehmen gehen heute bewusster mit dem Thema Risikomanagement um als noch vor zehn Jahren. Allerdings, so die Ergebnisse einer Umfrage, mangelt es in vielen Firmen an einem Gesamtkonzept.

GFI

Mittelstand muss sich besser schützen

GFI Software warnt, dass vor allem kleine und mittelständische Unternehmen oft nicht ausreichend gegen Angriffe aus dem Internet geschützt sind.

Foto: Norbert Lorenz/ Pixelio.de

RMA

Risikomanagement-Navigator für den Mittelstand

Wer vorankommen will, muss Risiken eingehen. Ein Schiff, das im Hafen vor Anker liegt, bringt dem Reeder nichts ein. Das heißt für Unternehmen: Gesetze, Prozesse, Standards frühzeitig in die eigene Risiko-Navigation einbeziehen, um für die Herausforderungen der rauen Wirtschaftswelt hochseetüchtig zu sein.

Image
Blick in das Security Operations Center von Bitdefender in San Antonio, im US-Bundesstaat Texas, wo unter anderem an Sicherheitslösungen vor IT-Angriffen auf mittelständische Unternehmen geforscht wird.
Foto: Bitdefender

IT-Sicherheit

So wird der Mittelstand besser vor IT-Angriffen geschützt

Der Mittelstand wird zunehmend mit IT-Angriffen aller Art konfrontiert. Mehr Schutz für Unternehmensnetzwerke versprechen externe Experten aus Fleisch und Blut.