Service Management und das Hinweisgeberschutzgesetz Hilfe beim Umsetzen der Whistleblower-Richtlinie

Ein Gastbeitrag von Florian Hennhöfer*

Die EU-Hinweisgeberrichtlinie zum Schutz von Whistleblower musste von allen Mitgliedsstaaten bis zum 17. Dezember 2021 in nationales Recht überführt werden – eigentlich. Das deutsche Hinweisgeberschutzgesetz (HinSchG) existiert jedoch nach wie vor nur als Entwurf. Es ist dennoch davon auszugehen, dass die Regierung ein solches Gesetz schon bald auf den Weg bringt. Unternehmen sollten also keine Zeit verlieren und schon aus Eigeninteresse zügig mit dem Aufbau eines internen Meldesystems beginnen.

Anbieter zum Thema

Unternehmen sollten zunächst prüfen, ob sie ein bestehendes ITSM-Tool mit etwaigen Anpassungen dazu nutzen können, das HinSchG, Hinweisgeberschutzgesetz, umzusetzen.
Unternehmen sollten zunächst prüfen, ob sie ein bestehendes ITSM-Tool mit etwaigen Anpassungen dazu nutzen können, das HinSchG, Hinweisgeberschutzgesetz, umzusetzen.
(Bild: Victor Moussa - stock.adobe.com)

Nach dem deutschen Gesetzesentwurf sind Unternehmen ab 50 Mitarbeitern Schaffung von anonymen Meldekanälen verpflichtet. Gleiches gilt für Behörden und Kommunen mit mehr als 10.000 Einwohnern. Das Ziel: Mitarbeiter und Partner sollen in der Lage sein, Compliance-Verstöße oder illegale Aktivitäten an eine zentrale Stelle innerhalb ihrer Organisation zu melden – und zwar vertraulich oder anonym und ohne Sanktionsgefahr.

Die Anforderungen an interne Meldekanäle

Die zu schaffenden Kommunikationskanäle müssen das Absetzen von Meldungen in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Diese sind entgegenzunehmen, zu prüfen und der Eingang innerhalb von sieben Tagen zu bestätigen.

In begründeten Fällen müssen Organisationen den meldenden Personen innerhalb von sechs Monaten Rückmeldung zum Umgang mit dem Fehlverhalten geben und die ergriffenen Maßnahmen revisionssicher dokumentieren. Die übermittelten Informationen sind entweder schriftlich oder durch Erstellung einer Sprach- oder Videoaufnahme dauerhaft zu dokumentieren und müssen jederzeit durch berechtigte Personen abrufbar sein.

In der Praxis sind dies speziell geschulte Mitarbeiter der Compliance-Abteilung oder unabhängige Ombudspersonen. Diese müssen sicherstellen, dass die Identität der Meldenden vertraulich behandelt wird oder auf Wunsch auch anonym bleibt.

Ein Incident?

Die bisherige Praxis zeigt, dass etwa 40 Prozent eingehender Meldungen von externen Personen stammen. Organisationen sind deshalb gut beraten, diese Möglichkeit auch ihren Dienstleistern, Kunden und Partnern anzubieten. Dies wirkt vertrauensbildend und erhöht die Chance, dass sich Meldende zuerst an die betroffene Organisation wenden und nicht Aufsichtsbehörden oder gar Pressevertreter über mögliche Missstände informieren.

Die praktische Umsetzung der EU-Whistleblower-Richtlinie klingt auf den ersten Blick nach einem sehr aufwendigen Vorhaben, doch zeigen sich bei näherem Hinsehen Ähnlichkeiten zum klassischen Incident-Management:

Eine Person meldet eine Störung (Fehlverhalten), binnen einer vorgeschriebenen Frist (hier 7 Tage) muss eine erste Rückmeldung erfolgen (Antwortzeit). In begründeten Fällen sind binnen sechs Monaten Folgemaßnahmen zu ergreifen und Hinweisgeber darüber zu informieren (Lösungszeit). Im Grunde handelt es sich um ein gesetzlich vorgeschriebenes Service Level Agreement (SLA) mit klar definierten Antwort- und Lösungszeiten.

Notwendige Anpassungen

Warum also diese Funktion nicht einfach in ein möglicherweise sogar bereits vorhandenes ITSM-Tool integrieren? Im Grunde spricht nichts dagegen, doch sind es einige Vorüberlegungen und gegebenenfalls auch Anpassungen notwendig:

1. Anonym melden und kommunizieren

Die größte Herausforderung des geforderten Meldesystems besteht darin, meldende Personen zu anonymisieren und ihnen gleichzeitig einen sicheren Kommunikationskanal mit der jeweiligen Organisation einzurichten. Eine mögliche Lösung besteht darin, beim Absetzen einer Meldung zufällige Login-Daten zu generieren. Diese kann die meldende Person später ohne Angabe persönlicher Daten nutzen, um den Bearbeitungsstatus der Meldung einzusehen oder Nachrichten auszutauschen.

Zur praktischen Umsetzung bietet sich hier die Kommentarfunktion eines Self-Service-Portals an: Mitteilungen können über eine zentrale Webseite abgesetzt werden und dann nur von speziell berechtigten Personen zentral bearbeitet werden. Diese können das gemeldete Thema eskalieren und beispielsweise ein internes Compliance-Verfahren in Gang setzen. Ein solches Self-Service-Portal mit den genannten Funktionalitäten ist Bestandteil der meisten ITSM-Lösungen und wäre mit einigen kleinen Anpassungen innerhalb kurzer Zeit einsatzbereit.

2. Verfügbarkeit und Funktionalität sicherstellen

Organisationen müssen dafür sorgen, dass ein Meldesystem von Notebook, PC oder mobilen Endgeräten gleichermaßen funktioniert und rund um die Uhr erreichbar ist. Da viele Menschen Meldungen über Fehlverhalten von unterwegs oder in ihrer Freizeit absetzen, sollte das zugehörige System auch außerhalb des Unternehmensnetzwerkes erreichbar sein. Eine gute Möglichkeit ist die Platzierung eines entsprechenden Links auf der Unternehmenswebseite, der Meldende direkt auf die passende Oberfläche leitet – und das Prozedere auch mit einigen aussagekräftigen Sätzen erklärt.

3. Datenschutz und Sicherheit gewährleisten

Beim Betrieb eines Meldesystems muss sichergestellt werden, dass nur berechtigte Personen Zugriff auf die übermittelten Informationen erhalten und auch nur sie mit Absendern kommunizieren können. Datenschutz und Sicherheit haben deshalb hohe Priorität.

ITSM-Tools bringen in der Regel bereits ein sehr granulares Rollen- und Berechtigungskonzept mit. Dieses lässt sich auch auf das Meldesystem anwenden, indem eine spezielle Benutzergruppe eingerichtet wird, die solche Fälle sichten und bearbeiten darf.

Werden keine persönlichen Informationen angegeben, sind Rückschlüsse auf die Identität der Meldenden nahezu unmöglich – selbst wenn die übermittelten Informationen lesbar sind. Dennoch müssen Administratoren und technisches Servicepersonal durch Mitarbeiter- oder AV-Verträge zu entsprechender Geheimhaltung verpflichtet werden.

4. Antwort- und Lösungszeiten messen

Um die Einhaltung vereinbarter Service Level Agreements (SLAs) zu gewährleisten, verfügt ein ITSM- oder Ticketsystem in der Regel über Funktionen zur Messung Reaktions- und Lösungszeiten. Hinzu kommen automatische Benachrichtigungen, die bei drohender Zeitüberschreitung rechtzeitig erinnern und entsprechende Meldeprozesse in Gang setzen. Diese Funktionalitäten können problemlos für ein Hinweisgebersystem verwendet werden, so dass die vom Gesetzgeber geforderten Antwortzeiten sicherstellen und die Beantwortung und Lösung der Anfragen nachweisen können.

5. Meldungen in die richtigen Kanäle leiten

Je mehr Mitarbeiter in einer Organisation beschäftigt sind, desto höher ist die Anzahl an Meldungen: Klassische IT-Probleme wie Störungen bei E-Mail, Netzwerk, Telefonie gehören ebenso dazu wie defekte Haustechnik oder mangelnde Zufriedenheit mit der Betriebskantine. ITSM-Systeme leiten die Anfragen direkt an die passende Stelle.

Meldekanäle für Fehlverhalten müssen jedoch grundsätzlich von allen anderen getrennt aufgebaut und sollten in Kategorien unterteilt werden, die von Meldenden anzugeben ist, beispielsweise „Compliance-Verstöße“ oder „Fehlverhalten gegenüber Mitarbeitern“. Durch diese Kategorisierung wird klargestellt, dass über diesen Kanal nur Fehlverhalten gemeldet und nicht das Mittagessen moniert werden soll.

Anhand von Schlagworten oder Auswahldialogen lassen sich im ITSM-System eingehende Meldungen automatisiert in die passenden Kanäle und Compliance-relevante Nachrichten zu speziell geschulten Mitarbeitern lenken. Damit sensible Meldungen bei den richtigen Ansprechpartnern landen, müssen die Systeme sorgfältig konfiguriert, trainiert und kontinuierlich angepasst werden.

6. Cloud, Managed Hosting oder On Premises

Der geforderte Meldekanal muss jederzeit verfügbar und direkt über die Web-Seite der betreffenden Organisation erreichbar sein. Außerdem sind die übermittelten Informationen vor unberechtigten Zugriffen zu schützen.

Dies bedeutet für den Betrieb: Organisationen müssen entscheiden, ob sie diese Aufgabe mit internen Ressourcen lösen oder eine Cloud-Anwendung einsetzen wollen. Dies kann entweder bei einem Provider der Wahl oder einem spezialisierten Anbieter betrieben werden.

Sollen Aufwand und Kosten möglichst gering ausfallen, sollten Entscheider eher eine Cloud-Lösung oder Hosting-Angebot in Betracht ziehen. Beide Varianten werden vom jeweiligen Anbieter betrieben und gewartet. Dank des integrierten Nutzer-Managements und regelmäßiger Updates sind Datensicherheit und Zugriffsschutz quasi „Out-of-the-Box“ gewährleistet.

Nutzen bestehender Tool-Landschaften oder Anpassen der Ausschreibungen

Der Aufwand für die Implementierung, Wartung und Betrieb eines Hinweisgebersystems ist keinesfalls zu unterschätzen. Bevor sich Unternehmen für die Anschaffung einer spezialisierten Anwendung entscheiden, sollten sie zunächst prüfen lassen, ob sie ein bestehendes ITSM-Tool dazu nutzen können – und dies auch gewollt ist.

In der Regel lassen sich die oben skizzierten Anforderungen mit vergleichsweise geringem Aufwand umsetzen, so dass das von der EU geforderte Hinweisgebersystem noch rechtzeitig in Betrieb genommen werden kann. Sind im Bereich Service-Management Neuanschaffungen geplant, sollten IT-Entscheider darauf achten, dass Anbieter oder Dienstleister sie auch bei der Umsetzung des Hinweisgeberschutzgesetz (HinSchG) unterstützen können.

Florian Hennhöfer arbeitet als Director Partner Enablement bei der Efecte Germany GmbH.
Florian Hennhöfer arbeitet als Director Partner Enablement bei der Efecte Germany GmbH.
(Bild: Efecte)

Dazu ist es unerlässlich, dies als Anforderung bei der Erstellung von Ausschreibungsunterlagen und Lastenheften zu berücksichtigen. Sind weder ITSM- noch Ticketsysteme vorhanden und in absehbarer Zeit auch keine Anschaffungen geplant, bleibt Organisationen nur die Wahl eines spezialisierten Software-Angebotes oder das Outsourcing des kompletten Meldeprozesses, beispielsweise an eine Anwaltskanzlei.

* Florian Hennhöfer ist ITSM-Experte und Produkt-Evangelist bei Efecte.

(ID:48179448)