Stellen Sie sich vor, in Ihrem Unternehmen passieren schon seit geraumer Zeit unangenehme Dinge. Dies können Übergriffigkeiten auf weibliche Angestellte sein, dies kann eine „kreative Buchhaltung“ sein, die Sie als Inhaber am Ende des Tages wegen Steuerhinterziehung oder Insolvenzverschleppung auf die Anklagebank bringt oder das können auch die „ganz normalen Mitarbeiter“ sein, die durch Bummelei, Krankfeiern oder Verschwendung von Betriebsmitteln einen erheblichen Schaden verursachen.
Weil aber keiner Ihrer Angestellten aus Angst vor Repressalien der Unternehmensleitung oder vor Mobbing-Aktivitäten der Kollegen auch nur einen Ton sagt, schaukeln sich die Dinge hoch, bis irgendwann die Bombe platzt. Dann ist es zu spät. Hätte es aber die Möglichkeit gegeben, Ihnen zuvor eine entsprechende Information zukommen zu lassen, wäre der Schaden wesentlich kleiner ausgefallen oder gar nicht erst entstanden.
Dies sollten Sie im Hinterkopf behalten, wenn Sie die folgenden Zeilen lesen und dabei bloß denken: „Ach Gott, noch mehr Bürokratie aus Brüssel, muss ich jetzt wieder sinnloserweise Geld investieren?“
Denn schon seit knapp einem Jahr gibt es im EU-Raum die Hinweisgeberschutz-Richtlinie, auch als Whistleblower-Richtlinie bekannt.
Ziel dieser EU-Norm, welche Anfang 2023 in deutsches Recht umgesetzt werden dürfte, ist der Schutz von sog. Whistleblowern, die Missstände, Übertretungen oder krasse Gesetzes-Verstöße der Unternehmensführung oder anderen Stellen melden. Diese sollen vor Schikanen, Repressalien oder gar arbeitsrechtlichen Konsequenzen geschützt werden.
Technisch gibt es neben dem telefonischen oder postalischen Weg natürlich auch die Möglichkeit, E-Mail oder einen anderen IT- basierten Kommunikationsweg zu nutzen.
Zahlreiche Softwareanbieter haben mittlerweile Whistleblower-Software im Programm, mit denen eine anonymisierte Meldung von Verstößen möglich ist.
Entscheidend ist hier nur, dass es dem Mitarbeiter oder dem sonstigen Hinweisgeber möglichst rund um die Uhr möglich sein sollte, seinen Hinweis an die entsprechende Stelle weiterzugeben, idealerweise auch noch in einer dem Hinweisgeber vertrauten Sprache.
Wesentlich mehr Überlegungen sollte sich die Unternehmensführung jedoch darüber machen, wer Empfänger der anonymen oder anonymisierten Hinweise sein kann.
Grundsätzlich gibt es die Möglichkeit, dies – ähnlich wie beim Datenschutz – entweder hausintern oder extern einzurichten. Dabei zählt der Ombudsmann, der vom Unternehmen als solcher verpflichtet wurde, nicht zu den externen Stellen im Sinne der Richtlinie. Diese bestehen vielmehr in Behörden wie etwa der Bundesanstalt für die Finanzdienstleistungsaufsicht (Bafin) oder anderen Stellen, die von Bund und Ländern aber noch hierfür ausgestattet und eingerichtet werden müssen. Dies erhellt, warum den meisten Unternehmen einiges daran liegen dürfte, interne Kanäle für die Hinweise zu nutzen, insbesondere eine Person, die nicht zum Kreis der Mitarbeiter zählt.
Der Gesetzentwurf sieht sogar ausdrücklich die Möglichkeit vor, einen Dritten mit dieser Aufgabe zu betrauen. Dies könnte etwa eine Anwaltskanzlei oder ein einzelner Anwalt als Ombudsmann sein.
Das hat zunächst den Vorteil, dass keiner der Mitarbeiter durch seine Stellung als Hinweisempfänger in die unangenehme Situation kommen kann, sozusagen zwischen den Stühlen zu sitzen.
Denn zum einen sind Mitarbeitende natürlich gegenüber ihrem Arbeitgeber aus dem Arbeitsverhältnis heraus zu Loyalität verpflichtet, zum anderen ist es zwingend notwendig, dass der Ombudsmann bei den anderen Mitarbeitenden volles Vertrauen genießt – sonst würde die Idee des neuen Gesetzes ins Leere laufen.
Im Übrigen ist heutzutage den meisten Mitarbeitern klar, dass jede Information, die an die IT- Abteilung weitergegeben wird, dort – in welcher Form auch immer – weiterverarbeitet wird und die unbedingt notwendige Anonymität des Hinweis-Gebers nicht immer und nicht zu hundert Prozent sichergestellt werden kann.
Aus diesen Gründen dürfte es für viele Unternehmen und andere Organisationen einfacher sein, die Hinweisgeber-Stelle an einen Ombudsmann auszulagern.
Sinnvollerweise könnte die Aufgabe eines Hinweisempfängers von einem externen Datenschutzbeauftragten wahrgenommen werden, weil dieser kraft seiner Bestellung als „Mittler zwischen Datenverantwortlichem und Datensubjekten“ ohnehin zu einer gewissen Neutralität verpflichtet ist.
Zusätzlich hat der Datenschutzbeauftragte die Möglichkeit, außerhalb des Unternehmens ein System zu etablieren, welches die ihn erreichenden Hinweise seriös behandelt, und, nach einer allfälligen Weitergabe des Hinweises, auch wieder für deren Löschung sorgt.
Der Gesetzesentwurf sieht vor, dass sämtliche Unternehmen mit mehr als 50 Mitarbeitern diese Richtlinie spätestens ab 16. Dezember 2023 umgesetzt haben müssen.
Diejenigen mit mehr als 249 Mitarbeitern – also 250 – sollten dies bereits seit dem 16.12.2021 erledigt haben.
Ähnlich wie bei der DSGVO will der Gesetzgeber hier vor allem eine Art von „Kultur“ etablieren, weshalb zumindest in der Anfangsphase nach Umsetzung in nationales Recht noch keine Bußgelder verhängt werden dürften und auch sonst keine Sanktionen zu erwarten sind.
Allerdings wird dies nicht ewig so bleiben, weshalb Unternehmer und Firmenverantwortliche dieses Thema möglichst bald auf ihre Agenda setzen sollten.
Insbesondere sollte dabei bedacht werden, dass es nicht nur um Verstöße gegen Schutznormen für Beschäftigte geht, sondern auch das Unternehmen als solches, staatliche Organisationen oder andere Werte geschützt werden sollen. Der Name „Wirecard“ Sollte in diesem Zusammenhang genügen.
Ähnlich wie bei der DSGVO sollten Unternehmen neuen Regeln auf keinen Fall nur als staatliche Gängelung begreifen, sondern als Chance, um sich nicht nur von den Mitbewerbern positiv abzusetzen, sondern auch um hierdurch neue hochqualifizierte Mitarbeiter zu gewinnen
Das Gesetz kommt in jedem Fall; und nur derjenige, der sich rechtzeitig darauf vorbereitet, hat hier gegenüber der Konkurrenz die Nase vorn.
Wenn Sie hierzu Fragen haben, sprechen Sie mich unverbindlich an oder senden Ihre Anfrage per Mail.