Warum sollte eine interne Meldestelle eingerichtet werden?
Bekannterweise gibt es eine gesetzliche Verpflichtung zur Einrichtung von internen Meldestellen, gefordert vom deutschen Hinweisgeberschutzgesetz (HinSchG). Diese gilt in der Regel für alle Beschäftigungsgebenden mit mindestens 50 Mitarbeitenden. Das HinSchG ist die nationale Umsetzung der EU-Richtlinie 2019/1937, oft auch „Whistleblower-Richtline“ genannt. Sie dient, einfach formuliert, dem Schutz Hinweisgebender vor Repressalien des Beschäftigungsgebender und damit der vereinfachten Aufdeckung von Verstößen im beruflichen Umfeld. Eine Nichteinrichtung ist bußgeldbewehrt. Insofern könnte man an dieser Stelle einen Haken machen – Gesetz fordert, Organisation hält Gesetze ein – also kommt es zur Einrichtung.
Es gibt aber noch weitere Gründe dafür. Die Rechtsprechung hat in den letzten Jahren und Jahrzehnten eine Art Pflichtenkatalog für die Organisationsleitung formuliert, allem voran die sog. Legalitätspflicht. Diese besagt grob, dass die Leitung dafür zu sorgen hat, dass gesetzliche Regelungen umgesetzt werden müssen. Tut Sie das nicht im erforderlichen Maß, kann es zu einer persönlichen Haftung der Leitung kommen. Werden bestimmte Maßnahmen umgesetzt, vor allem die Implementierung eines wirksamen Compliance-Management-Systems, kann dies haftungsmindernd wirken. Ein internes Hinweisgebersystem bzw. eine interne Meldestelle ist ein elementarer Bestandteil eines solchen Systems. Es wirkt somit der persönlichen Haftung entgegen.
Warum sollte die interne Meldestelle sorgsam und glaubwürdig eingerichtet werden?
Das HinSchG schützt alle Personen, die potenziell Kenntnis von einem Verstoß im beruflichen Umfeld erlangt haben können. Dazu zählen neben Beschäftigten unter anderem auch Bewerbende, ehemalige Mitarbeitende, Praktikanten, Gesellschafterinnen und Gesellschafter, Mitglieder, und Lieferantinnen und Lieferanten sowie deren Mitarbeitende. Der Anwendungsbereich ist vom Gesetzgeber bewusst weit gewählt worden, wobei es nach aktuellem Stand wahrscheinlich ist, dass Kunden und Kundinnen nicht darunterfallen. Trotzdem kann es sinnvoll sein, auch deren Meldungen sorgsam zu prüfen, da sich eine Bearbeitungspflicht aus der Legalitätspflicht ergeben könnte (sofern es sich nicht um Bagatellen oder bloße Beschwerden handelt). Berechtigte natürliche Personen haben ein Wahlrecht zwischen einer externen und einer internen Meldestelle. Die externen Meldestellen werden von staatlichen Stellen betrieben, z.B. dem Bundesjustizamt als Sammel- und Auffangstelle. Wenn die interne Meldestelle über keine ausreichende Reputation und Glaubwürdigkeit zur vertraulichen und objektiven Nachverfolgung von Hinweisen verfügt, wird ein Melder extern melden oder gar keine Meldung abgeben.
Beides sollte vermieden werden, da zum einen die Kontrolle über das Verfahren verloren geht und erfahrungsgemäß externe Stellen einen erhöhten Aufwand an Ressourcen bedeuten. Ausnahmen wären beispielsweise schwerwiegende Fälle, bei denen die Strafermittlungsbehörden eingeschaltet werden sollten oder wenn gesetzliche Meldepflichten bestehen. Zum anderen sind nicht gemeldete Verstöße ein teilweise erheblicher Nachteil für die Arbeit der Organisation. Sie schwächt direkt, aber auch indirekt über demotivierte und ggf. zynisch agierende Mitarbeitende. Jede Organisation sollte dankbar für Hinweise sein, zumal diese in der Regel von motivierten Mitarbeitenden erfolgt, die ein Interesse an der gemeinsamen Zukunft haben. Eine nicht regeleinhaltende Organisation dürfte es auch zukünftig schwerer haben, die passenden Mitarbeitenden zu finden.
Welche Möglichkeiten der Implementierung gibt es?
Die Implementierung kann komplett intern gelöst werden. Hierzu bedarf es entsprechend gesetzlich geforderter Meldekanäle und geeigneten Personals. Oftmals wird als Kommunikationskanal eine E-Mail-Adresse angeboten. Eine sichere Kommunikation darüber ist jedoch nur unter bestimmten Voraussetzungen möglich. Zudem haben auch Administrierende Zugriff, die mit der eigentlichen Bearbeitung zunächst nichts zu tun haben. Da jede eingehende Nachricht bearbeitet werden muss, ist der Einsatz von Spamfiltern separat zu prüfen. Dieses Einfallstor könnten sich auch Cyber-Angreifende zu Nutze machen.
Eine andere Möglichkeit wäre es, ein externes Hinweisgeberportal bereitzustellen, auf denen sicher und geschützt jederzeit Hinweise eingehen können und mit dessen Hilfe auch eine anonyme Kommunikation mit den Hinweisgebenden sichergestellt werden kann. Ein entsprechender Auftragsverarbeitungsvertrag wäre zu schließen. Ein Teil der Angebote, so auch das von Althammer & Kill, bietet parallel dazu einen telefonischen Meldekanal an. Gerade für unsichere Meldende ist das vertrauliche persönliche Gespräch Grundvoraussetzung für eine Meldung und die telefonische Meldung erfreut sich steigender Beliebtheit, da für manche die Hemmschwelle geringer ist.
Die komfortabelste Lösung ist eine „externe“ interne Meldestelle, die durch einen geeigneten Dienstleistenden wie Althammer & Kill zur Verfügung gestellt wird. Hier sind verschiedene Faktoren wie geeignete Meldewege, die fachliche Qualifikation, Vertretungsfähigkeit, Unabhängigkeit und das Fehlen von Interessenskonflikten sichergestellt. Datenschutzrechtlich ist keine Datenschutzfolgenabschätzung zu erstellen und die Betroffenenrechte werden sichergestellt.
Was sind wichtige Vor- und Nachteile der Lösungen?
In vielen Organisationen gibt es wenig Erfahrungswerte, was den Aufwand der internen Meldestelle betrifft. Daher ist es sinnvoll, zunächst eine Skalierbarkeit sicherzustellen und die Fixkosten gering zu halten. Dieses kann extern über ein aufwandsorientiertes Modell ohne hohe Pauschalen erreicht werden. Nichtsdestotrotz muss der Meldestellenbeauftragte bzw. die Ombudsperson über umfangreiche Kompetenzen (Fachkunde) verfügen, diese auf einem aktuellen Stand halten und eingehende Meldungen kompetent und fachkundig bearbeiten können. Gleiches gilt auch für die Vertretungsperson. Die Meldestelle muss auch arbeiten können, wenn der Hauptverantwortliche nicht im Dienst ist (Urlaub, Krankheit etc.). Bei einer externen Lösung fallen diese Aufwendungen zur Erlangung und Erhalt nicht an.
Wichtiger jedoch als diese Argumente ist die Unabhängigkeit und Glaubwürdigkeit der jeweiligen Lösung sowie deren Haftungspotential. Eine interne Person kennt man, oftmals werden jedoch Ombudspersonen ausgewählt, die Führungskraft sind oder Personen, die per se der Leitung nahestehenDie Gefahr von Interessenskonflikten liegt auf der Hand. Bei der externen Lösung ist diese Gefahr deutlich geringer. Die meisten Betriebsräte bzw. Mitarbeitervertretungen begrüßen daher die externe Lösung.
Es muss auch kein eigener Mitarbeitender eine „Bürde“ auf sich nehmen. Denn das Haftungsrisiko liegt zum Großteil beim Dienstleister. Verstößt eine (interne) Ombudsperson bewusst oder unbewusst gegen das Vertraulichkeitsgebot, drohen Geldbußen bis zu 50.000 €, die nach derzeitigem Stand nicht versicherbar sind und als persönliches Haftungsrisiko drohen. Dem steht gegenüber, dass es keinen besonderen Kündigungsschutz für interne Ombudspersonen gibt. Der Initialaufwand für die interne Lösung dürfte indes umfangreicher sein als der für die externe.
Für wen sollte die interne Meldestelle geöffnet sein?
Das Gesetz schützt alle natürlichen Personen umfangreich. Eine interne Meldestelle muss jedoch nur für Beschäftigte eingerichtet werden. Eine Öffnung für andere ist keine Pflicht, wird jedoch empfohlen. Sofern eine „andere“ berechtigte natürliche Person einen Missstand erfährt und melden möchte, aber keine interne Meldestelle zur Verfügung steht, wird sie extern oder gar nicht melden. Beides ist nicht wünschenswert.
Die einfachste Lösung, ein System für alle berechtigten natürlichen Personen anzubieten, ist es, eine URL mit der entsprechenden Meldestelle auf der Website zur Verfügung zu stellen, z.B. im Footer neben dem Impressum oder der Datenschutzerklärung. Manchmal wird das Bedenken geäußert, dass dann ein Ansturm auf die Meldestelle folgt und Dinge gemeldet werden, die eher bei einer Beschwerdestelle richtig aufgehoben sind. Die bisherige Erfahrung auch von Althammer & Kill zeigt jedoch, dass dem nicht so ist. „Verirrt“ sich versehentlich jemand bei der internen Meldestelle, bekommt er einen entsprechenden Hinweis, an welche Stelle er sich eigentlich wenden sollte.
Laut dem Hinweisgeberschutzgesetz muss der Meldekanal nicht anonym sein, oft wird es jedoch empfohlen – warum?
Das HinSchG empfiehlt die Bearbeitung anonymer Hinweise. Es ist aber tatsächlich kein Muss. Eine anonyme Meldemöglichkeit ist grundsätzlich sehr einfach möglich, z.B. durch einen Briefkasten, der an einer nicht prominenten Stelle aufgehängt ist. Damit ist aber keine Kommunikation mit dem Hinweisgebenden möglich. Das ist daher unglücklich, da selten in der Erstmeldung alle wertvollen Informationen und Hinweise genannt werden, die für die Stichhaltigkeitsprüfung notwendig sind.
Warum anonym? Weil dadurch die Hemmschwelle zur Meldung sinkt und auch Personen mit mehr Bedenken melden. Die Statistik spricht – je nach Quelle – von 45 - 65% abgegebener anonymer Meldungen. Diese würden zum Großteil wegfallen, wenn es keine anonyme Meldemöglichkeit gibt. Es gibt Bedenken, dass anonyme Meldungen dazu einladen würden, andere zu Unrecht an den Pranger zu stellen, also zu denunzieren. Diese Befürchtung kann aus Sicht von Althammer & Kill nicht bestätigt werden. Das Zulassen anonymer Hinweise kann man auch als Zeichen des Vertrauens interpretieren. Im Rahmen der gängigen ISO-Normenist eine anonyme Melde- und Kommunikationsmöglichkeit ein wichtiger und unverzichtbarer Bestandteil eines angemessenen Meldesystems.
Unabhängig davon hinaus besteht bereits seit Jahren im Rahmen der Legalitätspflicht für die Leitung die Pflicht, substanzielle Hinweise auf Verstöße – auch wenn sie anonym sind – umgehend und sorgsam zu prüfen. Verstöße sind schnellstens abzustellen, um ein (vermeidbares) Risiko zu verhindern oder zumindest zu reduzieren.
Was ist noch wichtig für die Implementierung?
Neben der richtigen Auswahl der Meldekanäle und der Ombudsperson ist Transparenz über das gewählte Verfahren und eine offene und vertrauensvolle Kommunikation an die Mitarbeitenden besonders wichtig. Es empfiehlt sich vorher den Betriebsrat bzw. die Mitarbeitendenvertretung mit ins Boot zu holen, eine entsprechende Richtlinie über die Meldestelle zu besprechen und in Kraft zu setzen und die Führungskräfte vorab zu schulen.
Danach sollte eine Information am besten dauerhaft abrufbar erfolgen, z.B. im Intranet. Je mehr und offener sich eine Leitung zur Einhaltung von Regeln verpflichtet und das aktive Melden begrüßt, desto wirksamer wird der Meldeprozess sein.