Ein Whistleblower ist die Person, die dir mitteilt, was schiefgeht, bevor es vor Gericht, in der Presse oder auf dem Schreibtisch der Behörde landet. Das Versprechen eines internen Meldungskanals ist das Gleiche in umgekehrter Form: Wenn deine Organisation es sicher macht, ein Problem zu melden, erreicht das Problem dich als Erste. Dieses Versprechen ist das, worauf Mitarbeiter tatsächlich setzen, wenn sie am Plakat „Speak Up" in der Küche vorbeigehen, und es ist das, was die meisten Meldungshotlines immer noch nicht einlösen.
Der Sinn dieses Beitrags ist die Perspektive des Arbeitnehmers auf diesen Handel. Es gibt viel Literatur darüber, warum ein Hinweisgebersystem Unternehmen vor Bußgeldern, Betrug und Reputationsschäden schützt. Es gibt viel weniger über die spezifischen Dinge, die ein Arbeitnehmer gewinnt, wenn das System über ihm auf etwas Stärkerem als einer veröffentlichten E-Mail-Adresse aufbaut. Vor fünf Jahren war diese Frage weitgehend kultureller Natur. Heute ist sie auch rechtlich: die EU-Richtlinie zum Schutz von Hinweisgebern, der ISO 37002-Standard und sich verfestigende Rechtsprechung zu Repressalien haben alle die Grenze zwischen „wir haben eine Hotline" und „Leute nutzen sie" neu gezogen.
Die gesetzliche Mindestnorm: EU-Richtlinie 2019/1937
Richtlinie (EU) 2019/1937 gilt nunmehr in allen 27 EU-Mitgliedstaaten. Sie verpflichtet jede private und öffentliche Organisation mit 50 oder mehr Arbeitnehmern, einen internen Meldungskanal zu betreiben, der schriftliche oder mündliche Berichte entgegennimmt, diese innerhalb von drei Monaten bearbeitet und den Berichterstatter vor Repressalien schützt. Die Liste der Verstöße, die der Kanal abdecken muss, ist breit: Finanzdienstleistungen, Geldwäschebekämpfung, öffentliche Auftragsvergabe, Umweltschutz, Produktsicherheit, Lebensmittelsicherheit, öffentliche Gesundheit, Verbraucherschutz, Datenschutz und Cybersicherheit.
Die Umsetzungsfrist war der 17. Dezember 2021. Die Einhaltung war uneinheitlich, und die Europäische Kommission ließ es nicht durchgehen. Am 25. April 2024 bestrafte der Gerichtshof Polen für verspätete Umsetzung. Am 6. März 2025 entschied der Gerichtshof gegen Deutschland, die Tschechische Republik, Ungarn, Estland und Luxemburg in einer zusammenhängenden Gruppe von Fällen. Nur Deutschland wurde mit 34 Millionen Euro belegt; die Tschechische Republik 2,3 Millionen Euro, Ungarn 1,75 Millionen Euro, Luxemburg 375.000 Euro und Estland 500.000 Euro zuzüglich eines täglichen Verwarnungsgeldes von 1.500 Euro, bis das Gesetz verabschiedet wurde.
"Ein Mitgliedstaat kann sich nicht auf Bestimmungen, Praktiken oder Situationen seines innerstaatlichen Rechts berufen, um die Nichterfüllung der sich aus dem Unionsrecht ergebenden Verpflichtungen, wie die Nichterfüllung einer Richtlinie, zu rechtfertigen."
Gerichtshof der Europäischen Union, Urteil vom 6. März 2025
Das Urteil ist für einen Arbeitnehmer in Hamburg oder Tallinn aus praktischeren Gründen als die Schlagzahl bedeutsam: Es stellt die nationalen Whistleblower-Gesetze eines jeden Mitgliedstaates auf die gleiche rechtliche Grundlage. Die Richtlinie setzt eine Untergrenze, keine Obergrenze fest, daher können einzelne Länder strenger sein, können aber nicht lockerer sein. In Kombination mit der offenen Konsultation der Europäischen Kommission zum bevorstehenden Aktionsplan zum Schutz von Hinweisgebern geht der rechtliche Schutz, den ein Arbeitnehmer bei der Meldung eines Problems hat, eher zu als ab. Eine länderweise Übersicht darüber, wie sich die Richtlinie in nationales Recht umsetzt, findest du in unseren Hinweisgeber-Gesetze in Europa Übersicht.
Gerichtshof der Europäischen Union, Luxemburg
© Cédric Puisney (CC BY 2.0)
Von der Compliance-Hotline zur Sprechkultur
Eine Hotline allein bewirkt sehr wenig. Der EY Global Integrity Report 2024 stellte fest, dass 93% der Organisationen nun eine Whistleblower-Hotline betreiben, gegenüber 86% vor zwei Jahren. Das ist das Kästchen angekreuzt. Aber in der gleichen Umfrage sagten 54% der Personen, die tatsächlich Fehlverhalten meldeten, dass sie sich unter Druck gesetzt gefühlt hatten, nicht zu melden; 40% der Vorstandsmitglieder sagten, dass sie persönlich Repressalien gegen einen Whistleblower gesehen hatten; und nur 25% der Arbeitnehmer sagten, dass sie wussten, welche Whistleblower-Schutzmaßnahmen ihnen zur Verfügung standen. Die Hotline existiert; die Bedingungen für jemanden, sie zu nutzen, ohne die Konsequenzen zu fürchten, existieren zum größten Teil nicht.
Das ist der Unterschied zwischen einer Compliance-Hotline und einer Sprechkultur. Eine Compliance-Hotline ist eine Nummer, die niemand anruft. Eine Sprechkultur ist ein Arbeitsplatz, an dem der Kanal eine von mehreren normalen Optionen ist und an dem jede Managementebene, Linienmanager, HR, Ethikbeauftragte und anonyme Werkzeuge einen Bericht als nützliche Information behandeln, nicht als Personalprobleme, die zu verwalten sind. Die Umfrage des Institute of Business Ethics von 2024 an internationalen Standorten stellte fest, dass die Bereitschaft, einem Linienmanager zu melden, seit 2020 tatsächlich gesunken ist, von 46% auf 40%. Das rechtliche Gerüst hat sich verbessert; das Vertrauensgerüst ist nicht mitgekommen.
Die Implikation für Arbeitgeber besteht darin, dass die Arbeit nicht beendet ist, wenn das System beschafft wird. Die Arbeit ist beendet, wenn die Personen, die das System nutzen würden, wissen, dass es existiert, wissen, was es abdeckt, und vertrauen, dass die Nutzung ihnen ihre Karriere nicht kostet. Das ist auch der Ort, an dem gute Whistleblower-Software aufhört, wie ein Kästchen auszusehen, und anfängt, gut für das Geschäft auszusehen: Jedes intern aufgetauchte Problem ist eines weniger, das das Gebäude verlässt und auf einen Regulierer oder einen Journalisten zusteuert.
"Organisationen sollten regelmäßig kommunizieren, möglicherweise bis zum Übermaß, die Bedeutung des Sprechens."
Jonathan Feig, EY Forensic & Integrity Services
Der Vertrauensstandard: ISO 37002
Im gleichen Jahr, in dem dieser Beitrag zum ersten Mal geschrieben wurde, veröffentlichte die Internationale Organisation für Normung ISO 37002:2021, Whistleblowing management systems: Guidelines. Der Standard ist freiwillig und nicht zertifizierbar, ist aber schnell zum Bezugspunkt geworden, auf den Compliance-Rahmenwerke, Sektorenregulierer und große Einkäuferteams verweisen, wenn sie definieren möchten, wie „gut" aussieht.
Die strukturelle Wahl, die ISO traf, ist für den Leser dieses Beitrags von Bedeutung. ISO 37002 basiert auf drei Prinzipien: Vertrauen, Unparteilichkeit und Schutz des Berichterstatters. Geschwindigkeit der Ermittlung, Compliance-Verteidigungsfähigkeit und Case-Management-Effizienz sind alle nachgelagert; sie fallen ohne sie aus und folgen, sobald der Vertrauenspart an der richtigen Stelle ist. Ein Arbeitnehmer, der dem Kanal nicht vertraut, bringt keinen Bericht in ihn ein, und eine Organisation ohne Berichte erkennt Fehlverhalten nicht früh genug, um damit umzugehen.
Die Verschiebung gegenüber einer Ethik-Hotline aus dem Jahr 2010 ist, dass das System nun vom Berichterstatter nach außen entworfen ist. Anonymität wird standardmäßig bewahrt, nicht als Ausnahme. Der Berichterstatter erhält obligatorisches Feedback innerhalb des gesetzlichen dreimonatigen Fensters. Ermittlungen müssen unparteilich gegenüber der Geschäftssparte durchgeführt werden, in der die angebliche Handlung stattgefunden hat. Der Berichterstatter muss vor Repressalien geschützt sein, die viel subtilere Formen als eine Entlassung annehmen können: Versetzung, Beförderungsstopp, Nichtneuerung des Vertrags, Verweigerung von Schulungen. ISO 37002 benennt all diese explizit.
Die Repressalienlücke
Repressalien sind der größte einzelne Grund, warum gute Systeme immer noch unterperformen. Die Global Business Ethics Survey der Ethics & Compliance Initiative von 2023 ist die strengste Daten, die wir dazu haben. Sie stellte fest, dass 65% der Arbeitnehmer im Umfragezeitraum Fehlverhalten bei der Arbeit beobachteten, gegenüber 60% im Jahr 2020. Von denen, die es beobachteten, meldeten 72% es intern oder extern: Die Meldequote ist tatsächlich hoch. Aber von denen, die meldeten, erlebten dann 46% Repressalien. Die Zahl ist in Umfragen ungefähr stabil geblieben: Ungefähr die Hälfte der Personen, die das Richtige tun, werden dafür bestraft.
Die größere strukturelle Erkenntnis der ECI ist, dass nur 13% der Arbeitnehmer in dem arbeiten, was die Umfrage als starke ethische Kultur definiert. Die anderen 87% sitzen an Arbeitsplätzen, an denen die ethischen Signale der Führung gemischt, schwach oder aktiv von dem widersprochen werden, das belohnt wird. EYs Feststellung, dass 64% der Vorstandsmitglieder sich unter Druck gesetzt fühlten, Fehlverhalten zu ignorieren, kommt von hier: Der Druck fließt von oben nach unten, und eine Hotline am unteren Ende einer Organisation, die ihre Direktoren dazu drängt, wegzuschauen, ist keine Hotline, die angerufen wird.
Was ein effektives System bewirkt, ist die Verringerung der Lücke zwischen den 72%, die melden würden, und den 46%, die dafür verletzt werden. Das geschieht durch echte Anonymitätsoptionen für sensible Berichte, obligatorische Verfolgung der Behandlung des Berichterstatters nach dem Bericht, eine unabhängige Ermittlungsroute für Fälle, in denen der Linienmanager Gegenstand ist, und sichtbare Durchsetzung, wenn Repressalien festgestellt werden. Die natürliche Folgefrage des Lesers, ist es sicher, ein Whistleblower zu sein, hat je nachdem eine andere Antwort, ob das System über ihnen eines davon ist oder nur ein Kontaktformular.
Was Arbeitnehmer tatsächlich gewinnen
Wenn sowohl die gesetzliche Mindestnorm als auch die kulturelle Infrastruktur halten, sind die Schutzmaßnahmen, die der Arbeitnehmer davon trägt, konkret und wert, genannt zu werden.
Ein geschützter Kanal, den er nicht erfinden musste. Gemäß der Richtlinie muss jede abgedeckte Organisation einen bereitstellen. Der Berichterstatter muss nicht auf eigene Faust einen freundlichen Journalisten oder einen sympathischen Regulierer finden; der erste Schritt ist intern und muss vertraulich sein. Anonymität ist als Standardoption verfügbar, nicht als eine Gnade, die auf Berufung gewährt wird. Moderne Systeme implementieren verschlüsselte, identitätsblinde Meldung von Ende zu Ende. Der Berichterstatter kann für Folgefragen über den gleichen anonymen Case-Thread erreicht werden, ohne jemals enttarnt zu werden, und gute Whistleblower-Software gibt ihnen die kryptografische Garantie schriftlich statt als das Versprechen des Rechtsberaterteams.
Die dreimonatige Nachberfolgungsfrist der Richtlinie ist keine Vereinbarungsstufe, es ist eine gesetzliche Verpflichtung. Der Berichterstatter kann nicht in Ruhe gelassen werden; ihm muss mitgeteilt werden, was mit seinem Bericht passiert. Neben der Frist sitzt rechtlicher Schutz vor Repressalien: Die meisten nationalen Umsetzungen implementieren umgekehrte Beweislast, also wenn der Berichterstatter gefeuert, herabgestuft oder sanktioniert wird, innerhalb eines definierten Fensters nach einem Bericht, muss der Arbeitgeber beweisen, dass die Handlung nicht verbunden war. Das ist eine aussagekräftige Veränderung von der Position aus dem Jahr 2010, bei der der Berichterstatter Verursachung selbst beweisen musste.
Über die rechtlichen Mechaniken hinaus sendet die Politik selbst ein Signal. Der Sinn einer Whistleblower-Richtlinie ist nicht das Dokument; es ist, was das Dokument den Arbeitnehmern über dessen Stimme Gewicht in der Organisation trägt. Ein Arbeitnehmer, der das System einmal genutzt hat, es funktionieren sah und das Problem angesprochen sah, wird zu einer anderen Art von Arbeitnehmer in der Organisation: stärker engagiert, nicht weniger. Stimme und Ausgang sind die einzigen zwei Wege, auf die eine Person auf ein Problem bei der Arbeit reagieren kann; ein System, das Stimme funktioniert, macht Ausgang unnötig.
Ein Whistleblower-Kanal, der auf den Prinzipien aufgebaut ist, die die Richtlinie und ISO 37002 festlegen, ist ein Stück Arbeitsplatz-Infrastruktur, das neu verdrahtet, wer mit wem sprechen kann, auf welchen Bedingungen, mit welchem Schutz. Die Organisation erhält bessere Informationen und der Berichterstatter erhält Schutz, was sich herausstellt, als das gleiche Projekt zu sein, statt zwei konkurrierende.
