Erster Whistleblower-Bericht — was tun?

Ein Arbeitgeber zu sein bringt eine lange Liste von Verpflichtungen mit sich, von denen viele damit zu tun haben, wie man die Menschen behandelt, die für einen arbeiten. Der Moment, in dem jemand beschließt, Unregelmäßigkeiten zu melden in Ihrem Unternehmen kann der stressigste des Jahres sein. Sie erfahren in einem einzigen Gespräch, dass etwas am Arbeitsplatz schiefgelaufen ist, den Sie verwalten, und dass einer Ihrer Mitarbeiter dieses Wissen lange genug mit sich getragen hat, um sich verletzt oder verängstigt zu fühlen. Bevor Sie etwas anderes tun, geben Sie sich selbst einen Moment Zeit, und denken Sie dann sorgfältig über die Schritte nach, die Sie als Nächstes unternehmen müssen. Das Gesetz lässt jetzt sehr wenig Raum für Improvisation.

Warum der erste Bericht in 2026 anders ist als 2021

Die europäische Grundlage wird durch die EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, festgelegt. Die Umsetzungsfrist für die Mitgliedstaaten war 17. Dezember 2021, aber die Einhaltung war langsam, und im März 2025 ordnete der Gerichtshof der Europäischen Union Deutschland, Luxemburg, Tschechien, Estland und Ungarn an, Geldstrafen für die Nichtübernahme zu zahlen. Bis 2026 haben alle Mitgliedstaaten Gesetze im Entwurf, auch wenn die Europäische Kommission immer noch Lücken in Umfang und Schutz anmerkt.

Gerichtshof der Europäischen Union, Luxemburg
©Cédric Puisney (CC BY 2.0)

Polen war einer der späteren Ankommer. Das Ustawa o ochronie sygnalistów vom 14. Juni 2024 trat am 25. September 2024 in Kraft, mit externen staatlichen Kanälen, die am 25. Dezember 2024 online gingen. Jede private oder öffentliche juristische Person, die am 1. Januar oder 1. Juli eines bestimmten Jahres mindestens 50 Personen beschäftigt, muss ein schriftliches internes Meldeverfahren durchführen. Einrichtungen in den Bereichen Finanzdienstleistungen, Geldwäschebekämpfung, Verkehrssicherheit und Umweltschutz sind unabhängig von der Arbeitnehmerzahl abgedeckt. Wenn Ihr Unternehmen diese Schwelle überschritten hat und Ihr Verfahren immer noch in einem Entwurfsordner lebt, sind Sie bereits gefährdet.

Der Grund, warum dies wichtig ist, wenn ein einzelner Bericht auf Ihrem Schreibtisch landet, ist, dass der Bericht nicht im Vakuum ankommt. Er kommt in einem regulierten Prozess an, mit Fristen, die zu ticken beginnen, sobald Ihr Kanal ihn registriert. Den ersten so zu behandeln, als wäre er ein HR-Gespräch, wie es Arbeitgeber vor zwanzig Jahren taten, ist jetzt ein rechtlicher Fehler.

Wer den Bericht empfangen darf

Je nach Größe der Organisation können Berichte an den Eigentümer, an ein Mitglied des Verwaltungsrats, an die HR-Abteilung oder an eine Person gehen, die speziell als Kontaktperson für Whistleblower eingestellt wurde. Wer es auch immer ist, zwei Dinge müssen wahr sein. Sie müssen schriftliche Genehmigung von der juristischen Person haben, um Berichte zu empfangen, Folgemaßnahmen zu ergreifen und die betroffenen personenbezogenen Daten zu verarbeiten, und sie müssen in einer Position sein, um unparteiisch zu handeln, frei von Interessenskonflikten mit den Personen oder Abteilungen, die der Bericht betrifft. Die Auswahl des Schichtleiters des gemeldeten Teams ist das Lehrbuchbeispiel dafür, wie man dies nicht gestaltet.

ISO 37002:2021, der internationale Standard für Whistleblowing-Managementsysteme, organisiert die Arbeit um drei Prinzipien, Vertrauen, Unparteilichkeit, Schutz, und um einen vierstufigen Lebenszyklus: empfangen, bewerten, adressieren, abschließen. Sie müssen nicht gegen den Standard zertifiziert sein, um sein Vokabular zu verwenden, und das Vokabular ist genau deshalb nützlich, weil es Sie zwingt, die Aufnahme (eine relationale Aufgabe) von der Untersuchung (eine analytische Aufgabe) zu trennen. Dieselbe Person kann beide tun, aber sie können nicht beide gleichzeitig tun.

Die ersten 7 Tage

Von dem Moment an, in dem der Bericht registriert wird, hat die autorisierte Person 7 Tage Zeit, um dem Melder den Empfang zu bestätigen. Dies ist keine Bestätigung, dass Sie ihm glauben, und es ist keine Entscheidung. Es ist ein Signal, dass der Bericht im System ist, dass ein echter Mensch ihn hat, und dass das Gesetz zu laufen begonnen hat. Geben Sie an, wer den Fall bearbeitet (oder welche Rolle, falls Anonymität erforderlich ist), was als Nächstes in groben Zügen geschieht, und wo der Melder Sie mit zusätzlichen Informationen erreichen kann. Vermeiden Sie Versprechen über das Ergebnis und vermeiden Sie evaluative Sprache. Die meisten Desaster in dieser Phase stammen von Bestätigungen, die wie Gegenargumente klingen.

Der Kanal selbst ist auch wichtig. Ein mündlicher Bericht (ein Telefonanruf, eine aufgezeichnete Leitung, ein persönliches Treffen) verpflichtet Sie, eine treue schriftliche Aufzeichnung zu erstellen und dem Melder die Möglichkeit zu geben, diese zu überprüfen. Ein E-Mail-Bericht sollte niemals mit Reply-All beantwortet werden. Ein Bericht, der über eine digitale Meldeplattform eingereicht wird, sollte auf dieser Plattform bleiben und nicht auf ein Corporate-Ticketing-System dupliziert werden, das die gemeldeten Parteien lesen können.

Das 3-Monats-Feedback-Fenster

Innerhalb von 3 Monaten nach der Bestätigung des Berichts (in begründeten Fällen sechs Monate) schuldet der Melder dem Melder ein aussagekräftiges Feedback über die geplanten oder bereits ergriffenen Maßnahmen und die Gründe dafür. Die Uhr läuft über die juristische Person, nicht über den Ermittler. Wenn die Untersuchung wirklich komplex ist, sollte der Melder darüber informiert werden und warum, bevor die Frist abläuft, nicht danach.

Das erste, was der Empfänger tun muss, ist zu beurteilen , ob der Bericht eine Verletzung im Anwendungsbereich beschreibt. Das polnische Gesetz deckt eine lange, aber endliche Liste ab: Korruption, öffentliche Beschaffung, Finanzdienstleistungsregeln, Geldwäschebekämpfung, Produktsicherheit, Verkehrssicherheit, Umweltschutz, öffentliche Gesundheit, Verbraucherschutz, Datenschutz und Schutz personenbezogener Daten sowie Verstöße gegen die Verfassung. Strenge arbeitsrechtliche Streitigkeiten zwischen einem Arbeitnehmer und dem Unternehmen wurden aus dem endgültigen Text ausgelassen, was bedeutet, dass eine HR-Beschwerde nicht automatisch ein geschützter Bericht ist; die Bewertung muss die Substanz betrachten, nicht wie wütend die E-Mail ist.

Persönliche Animosität, Punkteabbau oder aus einem bekannten Streit zurückgewonnene Berichte sind auch Teil der Bewertung, aber sie sind ein Grund, sorgfältig zu untersuchen, nicht zu verwerfen. Artikel 57 des polnischen Gesetzes kriminalisiert nur Berichte, die wissentlich eine Falschaussage kommunizieren, mit Strafen von bis zu 2 Jahren Freiheitsstrafe; ehrliche Fehler des Melders bleiben geschützt, und die Behandlung eines unangenehmen Berichts als böswillig ist eine der schnellsten Wege für einen Arbeitgeber, in einen Vergeltungsanspruch zu stolpern.

Sejm der Republik Polen, Warschau, wo das Whistleblower-Schutzgesetz am 14. Juni 2024 angenommen wurde
©Sandra Cohen-Rose und Colin Rose (CC BY-SA 2.0)

Aufzeichnungen und Vertraulichkeit

Jeder Bericht wird in ein Register interner Berichte aufgenommen. Das Register verfolgt das Empfangsdatum, den Gegenstand des Berichts, die ergriffenen Maßnahmen und das Ergebnis; es muss auf eine Weise aufbewahrt werden, die die Identität des Melders nicht an Personen preisgib, die nicht berechtigt sind, es zu erfahren. Das polnische Recht verlangt eine Aufbewahrung von 3 Jahren nach Abschluss des Falls.

Der Vertraulichkeitsbruttoatz ist hoch und strenger als die lockeren Versprechen „niemand wird es herausfinden", die ältere interne Richtlinien tendenziell machen. Die Identität des Melders ist geschützt und darf nur offengelegt werden, wenn die Offenlegung streng erforderlich und rechtmäßig ist, beispielsweise für Staatsanwälte oder ein Gerichtsurteil. Jeder mit Zugriff auf den Fall muss Vertraulichkeitserklärungen unterzeichnen, und das Register selbst ist DSGVO-Daten, mit allen damit verbundenen Zugriffskontroll- und Minimierungspflichten.

Dies ist auch, wo international tätige Arbeitgeber ihre Vorlagen ansehen müssen. Im September 2024 einigte sich die US Securities and Exchange Commission mit sieben börsennotierten Unternehmen auf über USD 3 Millionen zusammen über Arbeits- und Trennungsvereinbarungen, die Sprache enthielten, die die SEC als Verbot von Whistleblowing las, und mit einer separaten Finanzplanungsfirma für USD 240.000 über Geheimhaltungsklauseln ohne Regulierungsausnahme. NDAs, Abfindungsvereinbarungen und Austrittsinterviews, die vor Jahren für einen völlig anderen Zweck verfasst wurden, können von einem Regulator als Beweis dafür gelesen werden, dass das Unternehmen die Meldung behindert. Ein Durchsuchen dieser Vorlagen kostet sehr wenig; auf die schwierige Weise herauszufinden, kostet viel.

Für den Melder Sorge tragen

Oft besteht die Arbeit der Person, die einen Bericht empfängt, darin, schwierige, manchmal indiskrete Fragen zu stellen. Melder müssen Beweise bringen, und Sie müssen diese bewerten, ohne zu schmeicheln oder zu beschuldigen. Die Art, wie Sie fragen, ist genauso wichtig wie das, was Sie fragen. Die traumainformierte Aufnahmepraktik, jetzt Standardleitfaden in Arbeitsplatzermittlungen, kommt auf einige nützliche Gewohnheiten an: offene Fragen stellen, den Melder seine eigenen Worte verwenden lassen, ihm eine gewisse Kontrolle über Format und Timing geben, wo das Gesetz dies zulässt, und ihm erlauben, eine Unterstützungsperson mitbringen zu können, falls gewünscht. Ermittler, die mit „hast du das wirklich gesehen, bist du sicher?" hereinkommen, bekommen nicht weniger falsche Berichte, sie bekommen weniger Berichte aller Art, und der Kanal wird still.

Während der Bewertung und Auflösung muss es sicher für den Melder sein, weiterhin zu arbeiten. Über den externen Kommunikationskanal den sie zur Kontaktaufnahme mit Ihnen verwendet haben, überprüfen Sie regelmäßig. Bestätigen Sie, dass ihre Position geschützt wird, erklären Sie in ehrlichen Begriffen, welche Schritte unternommen wurden, und fragen Sie deutlich, wie es ihnen geht. Das häufigste Zeichen dafür, dass ein Melder kurz davor ist, zu einer Behörde zu eskalieren, ist Stille auf Ihrer Seite, nicht Wut.

Wann externe Hilfe hinzugezogen werden sollte

Nicht alle Berichte können intern gelöst werden. Eine Rücksprache mit externem Rat ist oft der richtige Schritt, besonders wenn die gemeldeten Fakten Strafrecht, großen finanziellen Verlust, regulierte Branchen oder Vorstandsmitglieder berühren. Externe Ermittler sind nützlich, wenn Unparteilichkeit intern nicht glaubhaft garantiert werden kann, und ISO 37002 empfiehlt ausdrücklich einen externen Ermittler in Fällen, in denen die Managementhierarchie dem Verhalten zu nahe steht.

Der Melder hat auch das Recht, den Fall außerhalb Ihrer Mauern zu nehmen. In Polen ist der zentrale externe Kanal der Beauftragter für Menschenrechte (RPO), unterstützt durch branchenspezifische öffentliche Stellen. Die öffentliche Offenlegung (beispielsweise zur Presse) ist nur geschützt, nachdem interne und externe Kanäle entweder fehlgeschlagen sind oder aus engen Gründen umgangen wurden, die in dem Gesetz dargelegt sind. Interne Handhabung, die den Bericht ernst nimmt, hält den Fall normalerweise in-house; schlampige interne Handhabung neigt dazu, dem Melder sowohl ein klares Recht als auch einen starken Anreiz zu geben, es aus der Tür herauszugehen.

Büro des Polnischen Beauftragten für Menschenrechte (RPO), Aleja Solidarności 77, Warschau
©Adrian Grycuk (CC BY-SA 3.0 PL)

Was es kostet, das falsch zu machen

Das polnische Gesetz behandelt Vergeltung, Behinderung eines Berichts und das Entlarven eines Melders als Straftaten, ahndbar mit Geldstrafen bis zu PLN 1.080.000, Freiheitsbeschränkung oder Freiheitsstrafe bis zu 3 Jahren. Die Nichteinrichtung eines Verfahrens in einer abgedeckten Organisation löst separate Verwaltungshaftung aus. In einem Vergeltungsfall ist die Beweislast umgekehrt: der Arbeitgeber muss nachweisen, dass eine nachteilige Maßnahme gegen den Melder nicht mit dem Bericht verbunden war. Ein Whistleblower, dessen Rechte verletzt wurden, hat Anspruch auf Schadensersatz von mindestens dem durchschnittlichen nationalen Monatsgehalt, ohne Begrenzung des Schadensersatzes, wenn der Schaden größer ist.

Die Arithmetik ist unerbittlich. Ein erster Bericht, der sauber bearbeitet wird, kostet Sie die Zeit eines geschulten Empfängers und ein paar Wochen sorgfältiger Untersuchung. Der gleiche Bericht, der schlecht bearbeitet wird, kostet das Verfahren, die Menschen, die Aufmerksamkeit des Regulators und oft den Melder, der direkt zur RPO, zum Staatsanwalt oder zur Presse geht.

Die ehrliche Fassung des Fazits

Den ersten Bericht zu erhalten ist in fast jedem Fall ein stressiger Moment für den Arbeitgeber. Es muss kein chaotischer sein. Das Rechtsrahmen um die Rolle des Empfängers ist jetzt sowohl detailliert als auch menschlich, und die verfahrenstechnischen Grundlagen („bestätigen Sie in 7 Tagen, geben Sie in 3 Monaten aussagekräftiges Feedback, schreiben Sie alles auf, behandeln Sie den Melder als Person, niemals allein") stimmen mit dem überein, was gute Ermittler bereits taten, bevor das Gesetz aufholte. Wenn das Gesetz und der menschliche Instinkt in die gleiche Richtung zeigen, ist das Einzige, was noch zu tun bleibt, die Muskelgedächtnisse aufzubauen und sie beim ersten Mal zu verwenden, nicht beim dritten.