"Eine Speak-up-Kultur fördert frühzeitige Meldungen"

Im Interview beleuchtet Datenschutzexperte Jan Stappers die Rolle von Hinweisgebersystemen sowie die technischen und organisatorischen Hürden bei deren Umsetzung in deutschen Unternehmen.

springerprofessional.de: Herr Stappers, wann sind Unternehmen dazu verpflichtet, eine interne Meldestelle einzurichten, über die Mitarbeiter Hinweise abgeben können?

Jan Stappers: Die wichtigste rechtliche Grundlage in Deutschland ist das Hinweisgeberschutzgesetz (HinSchG), mit dem die EU-Richtlinie zum Schutz von Hinweisgebern umgesetzt wurde. Seit dem 2. Juli 2023 müssen Arbeitgeber im privaten Sektor mit 250 oder mehr Beschäftigten eine interne Meldestelle einrichten und betreiben. Unternehmen mit 50 bis 249 Beschäftigten wurde eine Übergangsfrist bis zum 17. Dezember 2023 gewährt, um den Anforderungen nachzukommen. Öffentliche Stellen und bestimmte regulierte Einrichtungen (zum Beispiel Finanzinstitute) unterliegen denselben Fristen, unabhängig von ihrer Größe.

Wo stehen deutsche Unternehmen aktuell bei der Umsetzung von Hinweisgebersystemen?

Da die Fristen inzwischen abgelaufen sind, sollten alle Unternehmen mit 50 oder mehr Beschäftigten inzwischen interne Hinweisgebersysteme eingerichtet haben. Viele Unternehmen haben dabei auf digitale oder externe Plattformen zurückgegriffen, um eine schnelle Umsetzung zu ermöglichen. Große Unternehmen, insbesondere solche aus der Finanz- und Versicherungsbranche, haben die Vorgabe bis zum Juli 2023 in der Regel fristgerecht erfüllt, während kleine und mittlere Unternehmen (KMU) größtenteils die Übergangsfrist bis Dezember 2023 genutzt haben, um gesetzeskonforme Systeme zu implementieren. Inwieweit tatsächlich alle rechtlichen Anforderungen erfüllt werden, einschließlich der Punkte, die von der EU-Kommission in ihren Erklärungsschreiben gesondert angesprochen wurden, lässt sich nur schwer beurteilen.

Was sind die wichtigsten technischen oder organisatorischen Hürden bei der Umsetzung?

Die Einführung eines elektronischen oder webbasierten Hinweisgebersystems ist häufig mit Mitbestimmungsrechten verbunden und erfordert daher eine frühzeitige und umfassende Einbindung des Betriebsrats, um Verzögerungen bei der Implementierung zu vermeiden. Kleinere Tochtergesellschaften können einen konzernweiten Meldekanal nutzen, aber alle Unternehmen mit 250 oder mehr Beschäftigten müssen ein eigenes System betreiben. Unternehmen sind verpflichtet, mehrere Meldewege anzubieten (schriftlich, telefonisch, persönlich), den Eingang innerhalb von sieben Tagen zu bestätigen und innerhalb von drei Monaten Rückmeldung zu geben. Das erfordert ein leistungsfähiges Fallmanagement. Darüber hinaus muss der Meldekanal von Personen oder Abteilungen betrieben werden, die unabhängig und fachlich qualifiziert sind, sei es intern oder über eine externe Ombudsperson, um Interessenkonflikte zu vermeiden. Die Verarbeitung sensibler personenbezogener Daten gemäß Datenschutz-Grundverordnung (DSGVO), vor allem besonderer Kategorien im Sinne von Art. 9, setzt eine dokumentierte Rechtsgrundlage voraus, ebenso wie eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO), rollenbasierte Zugriffskontrollen, Verschlüsselung und strenge Löschrichtlinien (zum Beispiel drei Jahre nach Abschluss eines Falls). Auch Datenübermittlungen über Landesgrenzen hinweg bedürfen DSGVO-konformer Schutzmaßnahmen und klarer vertraglicher Regelungen mit Auftragsverarbeitern.

Der neue Report Ihres Unternehmens zeigt, dass in Deutschland Hinweise langsamer gemeldet und bearbeitet werden. Wie können externe Hinweisgebersysteme das verbessern?

Externe Hinweisgebersysteme spielen eine wichtige Rolle dabei, die Geschwindigkeit und Effizienz bei der Einreichung und Bearbeitung von Meldungen zu verbessern. Da sie häufig mehrere Meldekanäle bereitstellen, wie Online-Portale, Hotlines oder mobile Apps, können Hinweisgeber Meldungen anonym, schnell und bequem abgeben. Diese niederschwellige Zugänglichkeit fördert die zeitnahe Berichterstattung. Viele externe Systeme bieten Dashboards und Analysefunktionen, mit denen Organisationen den Status eingegangener Meldungen in Echtzeit verfolgen können. Diese Transparenz hilft dabei, Engpässe zu erkennen und die fristgerechte Bearbeitung von Meldungen sicherzustellen. Der Einsatz fortschrittlicher Technologien zur Automatisierung und Optimierung von Melde- und Fallbearbeitungsprozessen kann Verzögerungen bei der Kategorisierung, Priorisierung und Weiterleitung an die zuständigen Stellen deutlich reduzieren. Solche Systeme sind außerdem darauf ausgelegt, ein hohes Volumen an Meldungen zu bewältigen – ein klarer Vorteil für Organisationen mit steigender Hinweisgeberaktivität. Durch Outsourcing lassen sich interne Ressourcen entlasten, sodass sich Unternehmen auf ihr Kerngeschäft konzentrieren können, während gleichzeitig eine fachgerechte Bearbeitung der Meldungen durch externe Experten sichergestellt ist.

Welche Rolle spielen Anonymität, Vertrauen und Unternehmenskultur für erfolgreiche Hinweisgebersysteme, besonders im deutschen Mittelstand?

Die Möglichkeit zur anonymen Meldung, auch wenn sie nicht gesetzlich verpflichtend ist, ermutigt mehr Beschäftigte dazu, sich zu Wort zu melden, und hilft dabei, schwerwiegende Missstände aufzudecken, die sonst vielleicht unentdeckt bleiben. Mitarbeiter müssen darauf vertrauen können, dass ihre Identität und die Details des Falls vertraulich behandelt werden und keine Repressalien folgen. Ein sichtbares Bekenntnis der Unternehmensleitung und eine transparente Nachverfolgung stärken dieses Vertrauen. Eine Speak-up-Kultur, in der Führungskräfte konsequent darauf achten, dass keine Vergeltungsmaßnahmen ergriffen werden, fördert frühzeitige Meldungen und unterstützt insbesondere KMU dabei, Fehlverhalten rechtzeitig zu erkennen und zu beheben, bevor es eskaliert.

Wie wird der Datenschutz in Hinweisgebersystemen gewährleistet?

Gemäß dem Vertraulichkeitsgebot des HinSchG und der DSGVO dürfen personenbezogene Daten nur verarbeitet werden, wenn dies erforderlich ist, wobei die Rechtsgrundlage (Art. 6, 9 DSGVO) und der Umfang der Verarbeitung (Art. 13, 14 DSGVO) vollständig zu dokumentieren sind. Zusätzlich darf die Identität von Hinweisgebern und Dritten ausschließlich von dafür bestimmten Personen und nur nach dem Need-to-know-Prinzip eingesehen werden; die Vertraulichkeit darf nur bei gesetzlichen oder strafrechtlichen Ermittlungsanforderungen außer Kraft gesetzt werden. Die strengen Vertraulichkeitsvorgaben des HinSchG können das Recht der Betroffenen auf Auskunft gemäß Art. 14 und 15 DSGVO einschränken; Unternehmen müssen hier eine sorgfältige Abwägung zwischen dem Auskunftsrecht und dem übergeordneten Interesse an Geheimhaltung im Rahmen wirksamer Untersuchungen treffen. Dabei ist wichtig anzumerken, dass Meldungen und damit verbundene personenbezogene Daten nach Abschluss des Falls innerhalb eines festgelegten Zeitraums gelöscht werden müssen, es sei denn, eine längere Aufbewahrung ist zur Einhaltung gesetzlicher Vorschriften oder für rechtliche Verfahren erforderlich. Die Beauftragung externer Dienstleister erfordert DSGVO-konforme Auftragsverarbeitungsverträge (Art. 28 DSGVO) sowie, angesichts der hohen Sensibilität von Hinweisgeberdaten, eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO.