whistleblowersystem hinweisgebersystem hinweisgeberschutzgesetz hinschg whistleblower-richtlinieWHISTLEPORTALDas digitale Hinweisgebersystem als SaaS-Lösung

Wir unterstützen Sie bei der Erfüllung des Hinweisgeberschutzgesetzes bzw. der EU-Whistleblowerrichtlinie (EU2019/1937)

durch den Betrieb eines professionellen Portals als SaaS-Lösung

Die Herausforderung

Die EU Whistleblowerrichtlinie fordert, dass Unternehmen ab 250 Personen seit Dezember 2021 Hinweisgebern die Möglichkeit geben müssen, auf Missstände hinzuweisen. Diese Hinweise müssen auch anonym gegeben werden können. Ab Dezember 2023 gilt diese Anforderung auch für alle Unternehmen ab 50 Personen.

Das Risiko für die Unternehmen: Die Hinweisgeberrichtlinie und das Hinweisgeberschutzgesetz, HinSchG definieren insgesamt drei Kanäle, über die solche Meldungen abgegeben werden können. Den internen, den externen und den öffentlichen Kanal. Der interne Kanal ist derjenige, den die Unternehmen zur Verfügung stellen und damit unter ihrer Kontrolle haben.

Der externe Kanal meint nicht etwa, dass externe Personen an das Unternehmen melden können, sondern dass die Meldung an eine zentrale Behörde (also aus Unternehmenssicht nach Extern) erfolgt. Der öffentliche Kanal ist die Offenlegung zum Beispiel gegenüber der Presse.

Es ist also im Interesse der Unternehmen, möglichst viele Meldungen über den internen Kanal zu lenken und damit so weit wie möglich die Kontrolle über die Meldungen zu erlangen.

Neben der bloßen zur Verfügungstellung eines Meldekanals verlangt die Richtlinie auch die Möglichkeit, dass Meldungen anonym abgegeben werden können müssen. Dies ist eine technische Herausforderung, die nicht zu unterschätzen ist. Insbesondere bei Meldung über das Internet ist hierbei immer die IP-Adresse der Hinweisgeber*innen im Spiel.

Einige Herausforderungen im Detail:

1. Anonymität muss garantiert werden

Ein wichtiges Kriterium für die Hinweisgeber*innen ist häufig, anonym bleiben zu können. Die Angst vor Repressalien ist insbesondere dann groß, wenn die eigenen Mitarbeiter*innen Missstände mitteilen wollen.

Die Anonymität muss sowohl durch technische Maßnahmen (kein Logging, keine Browserhistorie, Verschlüsselung etc.) gewährleistet sein als auch durch organisatorische Maßnahmen. Die Technik lässt sich bestimmt für jedes Unternehmen mit nur genügend Aufwand in den Griff bekommen, aber wenn das System selbst betrieben wird, ist es fast unmöglich dafür zu garantieren, dass die Hinweisgeber*innen anonym bleiben. Die Auslagerung an einen Dienstleister ist hier vermutlich die einzige Möglichkeit, Anonymität garantieren zu können.

Übrigens unterstützt unser System von Haus aus auch das TOR-Netzwerk, welches für erweiterte Anonymität der Hinweisgeber*innen sorgt.

2. Fristen sind einzuhalten

Die Whistleblowerrichtlinie definiert zahlreiche Fristen, die einzuhalten sind. Werden diese Fristen nicht eingehalten kann es zu Bußgeldern kommen oder die Hinweisgeber*innen erhalten hierdurch den “Freibrief”, die nächste Eskalationsstufe zu starten. Im schlimmsten Fall wäre dies der öffentliche Meldekanal, also der Gang zur Presse.

Unser System unterstützt Sie auf mehrere Weisen bei der Einhaltung der vorgegebenen Fristen: Zum einen erhalten die Hinweisgeber*innen die geforderte Eingangsbestätigung sofort nach Absenden des Hinweises, zum anderen erinnern wir Sie automatisiert an nahende Fristenden.

3. Interessenkonflikte sind möglich

Letztlich müssen alle Meldungen durch das betroffene Unternehmen bearbeitet werden. Bis es aber zur Bearbeitung kommt, lauern einige Hürden. Eine davon sind Interessenkonflikte.

Beispiel gefällig? Wenn die Person, die für die Bearbeitung von Meldungen für den Bereich HR zuständig ist, selbst in den Fall, der gemeldet werden soll, involviert oder sogar Täter*in ist, kann dies schnell dazu führen, dass eine Meldung gar nicht erst gemacht wird. Oder sie geht direkt an den externen Kanal, also an die zuständige Behörde. Beides ist nicht im Sinne des Unternehmens.

Daher bieten wir mit unserer Plattform sowohl die Möglichkeit, mehrere Ansprechpartner*innen pro Thema zu benennen und diese durch die Hinweisgeber*innen auswählen zu lassen. Darüber hinaus bieten wir Ihnen an, für Sie als Ombudsperson zu agieren. Dies hat zusätzlich den Vorteil für Sie und die Hinweisgeber*innen, dass wir die abgegebenen Meldungen auf versehentliche und ungewollte Offenlegung der Identität der Hinweisgeber*innen prüfen und hier eingreifen können.

4. Mehrsprachigkeit

Hinweise müssen von allen Personen entgegengenommen werden, mit denen im geschäftlichen Kontext zusammengearbeitet wird. Von den eigenen Mitarbeiter*innen, von Ansprechpartner*innen bei Zulieferern, Dienstleistern, Auftraggebern etc. und von allen selbständigen Personen, mit denen Sie zusammenarbeiten. In der heutigen Zeit sprechen diese Personen nicht zwingend alle deutsch.

Daher unterstützt unser System Mehrsprachigkeit. Neben den in der EU üblichen Sprachen werden auch Japanisch, Russisch, Chinesisch (in mehreren Ausprägungen) und zahlreiche weitere Sprachen unterstützt. Die Hinweisgeber*innen können die Sprache selbst auswählen und jederzeit umschalten. Darüber hinaus können Sie das System von landesspezifischen Seiten (beispielsweise der Homepage Ihrer spanischen Niederlassung) so verlinken, dass es direkt in der Landessprache startet.

5. Individuelle Fragbögen

Selbstverständlich bieten wir Ihnen einen Standardfragebogen, der für die meisten Unternehmen passend sein sollte. Sofern Sie aber individuelle Anforderungen haben, können die umgesetzt werden. Sie liefern uns den Fragebogen und wir setzen diesen für Sie um. Dabei sind der Kreativität kaum Grenzen gesetzt.

6. Unternehmensgruppen

Die Pflicht, ein Hinweisgebersystem zu implementieren trifft jedes einzelne Unternehmen. Für Unternehmensgruppen bedeutet dies im Zweifel pro Unternehmen ein System. Dies ist nicht nur aufwändig, sondern kann auch zu einem uneinheitlichen Auftreten führen.

Unser System unterstützt Unternehmensgruppen dabei, einen einheitlichen Auftritt gegenüber den Hinweisgeber*innen zu implementieren. Dabei bleibt die Individualität erhalten, pro Unternehmen individuelle Fragenkataloge zu nutzen oder individuelle Prozesse abzubilden. Gleiches gilt für die Definition der internen Ansprechpartner*innen.

Die Vorteile des WHISTLEPORTAL

  • Software as a Service

    Wir betreiben und administrieren das System für Sie. Wir kümmern uns um Sicherheit, Administration und Backups.

  • Aktive Information

    Wenn Hinweise eingehen oder wenn ergänzende Informationen oder Rückfragen der Hinweisgeber*innen eingehen, werden Sie aktiv und automatisiert vom System informiert.

  • Kommunikation auch anonym möglich

    Die Kommunikation der Hinweisgeber*innen mit Ihnen ist für diese vollkommen anonym möglich. Dies wird durch technische Maßnahmen sichergestellt. Darüber hinaus können Sie trotz der Anonymität der Hinweisgeber*innen mit diesen kommunizieren und z. B. Rückfragen stellen.

  • Auf Wunsch stellen wir die Ombudsperson

    Wir stellen dann insbesondere für Sie sicher, dass die Hinweisgeber*innen sich nicht versehentlich selbst de-anonymisieren. Darüber hinaus ersparen Sie sich die direkte Kommunikation mit den Hinweisgeber*innen.

Stellen Sie Compliance sicher und verringern Sie gleichzeitig Risiko und Aufwand und

Mit unserer SaaS-Lösung für Hinweisgebersysteme: WHISTLEPORTAL

Der Aufwand für Sie beschränkt sich auf die Abstimmung und Definition des Fragenkatalogs (oder Sie nutzen unseren Standard Fragenkatalog). Sofern Sie spezielle Texte für die Startseite wünschen, können Sie auch hier vom vorgeschlagenen Standard abweichen.

Wir stellen Ihnen das System zur Verfügung, Sie verlinken es und lehnen sich zurück, bis die ersten Hinweise bei Ihnen eingehen.

Bei Ihnen entstehen keine Aufwände für den Betrieb, die Wartung, IT-Sicherheit, Backups oder Updates. Das übernehmen wir für Sie.

Alles zum monatlichen Festpreis.

Der Ablauf

  • Abstimmung der Anforderungen

    Wir klären mit Ihnen, ob Sie das Hinweisgebersystem für ein Unternehmen oder für eine Unternehmensgruppe benötigen. Wir stimmen die Fragenkataloge, sonstigen Texte und die benötigten Sprachen mit Ihnen ab.

  • Zulieferung von Texten

    Sofern Sie individuelle Texte oder Fragenkataloge wünschen, liefern Sie uns diese zu. Bei mehrsprachigen Implementierungen in allen von Ihnen benötigten Sprachen.

  • Definition von internen Ansprechpartner*innen

    Sie legen die internen Ansprechpartner*innen fest. Wir richten diese im System ein und senden den Ansprechpartner*innen Einladungen für das Onboarding.

  • Festlegung: Sollen wir als Ombudsperson für Sie agieren?

    Sofern wir als Ombudsperson für Sie agieren sollen (wir empfehlen das!), richten wir uns entsprechend im System ein. Wir übernehmen dann zukünftig die Kommunikation mit den Hinweisgeber*innen.

  • Einrichtung und Bereitstellung

    Wir richten das System für Sie ein und stellen es bereit.

  • Veröffentlichung der URL

    Sie veröffentlichen Ihre individuelle URL des Hinweisgebersystems auf Ihrer Homepage und ggf. an weiteren Stellen.

  • Bearbeitung von Hinweisen

    Wenn Hinweise eingehen, werden Sie aktiv benachrichtigt. Entweder direkt vom System oder – sofern wir die Ombudsperson stellen – von uns, nachdem wir den Hinweis entgegengenommen, gesichtet und ggf. vor-bearbeitet haben.

Was zeichnet die Arbeit von Mauß Datenschutz aus?

Datenschutzbeauftragter GDD Cert.EU
Datenschutzbeauftragter nach BvD-Verbandskriterien verpflichtet
DEKRA Fachkraft für Datenschutz
Mitglied in der HDG
  • Wir kennen unsere Kunden & Anforderungen

    Wir beraten kleine und mittelständische Unternehmen und kennen deren Anforderungen inklusive begrenzter finanzieller und zeitlicher Budgets.

  • Mit Augenmaß

    Wir beraten pragmatisch, kundenorientiert und mit Augenmaß und schaffen so optimal auf Sie abgestimmte Lösungen und Prozesse.

  • Wer machts?

    Wir sind flexibel bezüglich der Frage „Wer macht’s?“: Wir klären individuell mit Ihnen, ob Sie bestimmte Aufgaben selbst übernehmen oder an uns delegieren möchten.

  • Kosten, Effizienz und Motivation im Einklang

    Wir kennen die Herausforderung, bei aller Regulatorik auch Kosten, Effizienz und Motivation der Mitarbeiter zu berücksichtigen.

Tobias Mauß: Ihr Ansprechpartner im Team Mauß Datenschutz

Mauß Datenschutz

„Seit über 25 Jahren bin ich im Bereich IT tätig, seit über 10 Jahren beschäftige ich mich ausschließlich mit Datenschutz. Mein Team und ich verhelfen Unternehmen zu mehr Sicherheit in jeglichen datenschutzrechtlichen Angelegenheiten. Als studierter  Informatiker habe ich neben den hierfür notwendigen rechtlichen Kenntnissen zusätzlich die relevanten Kompetenzen in der Informatik und im Projektmanagement, um die Auswirkungen auf Systeme, Prozesse und Organisation beurteilen zu können.“

Tobias Mauß

Brauchen Sie mehr Informationen? Wünschen Sie eine Demo? Rufen Sie einfach an:

Mauß Datenschutz: 040 / 999 99 52-0

Wir freuen uns auf Ihren Anruf.