Wie implementiert man ein Whistleblowing-System?

Die EU-Whistleblower-Richtlinie ist längst in Kraft getreten, jeder Mitgliedstaat hat ein Umsetzungsgesetz verabschiedet, und die Frage auf dem Schreibtisch einer Compliance-Verantwortlichen lautet nicht mehr, ob ein Meldekanal eingerichtet werden muss, sondern ob der bereits bestehende Kanal tatsächlich den Anforderungen entspricht. Die Umsetzung der Bestimmungen in den Alltag einer Organisation läuft nach wie vor in drei Schritten ab: Verfahren entwickeln, das System einrichten und es am Laufen halten. Keiner dieser Schritte ist noch abstrakt.

Die Organisation vor der Verfahrensentwicklung analysieren

Bevor auch nur eine Zeile einer Richtlinie geschrieben wird, muss die Organisation analysiert werden. Die Headcount bestimmt, ob eine Verpflichtung besteht: Jeder private Arbeitgeber mit 50 oder mehr Beschäftigten muss einen internen Meldekanal betreiben. Die Frist für Unternehmen mit 50-249 Beschäftigten ist bereits am 17. Dezember 2023 abgelaufen. Die Gruppenstruktur entscheidet, wo der Kanal angesiedelt ist. Ein Holding mit mehreren juristischen Personen kann nicht einfach alles in einen gemeinsamen Eingang poolen. Die Europäische Kommission hat in ihrem Bericht zur Überprüfung der Konformität vom Juli 2024 genau dieses Muster als eine der häufigsten Umsetzungslücken gekennzeichnet.

Vorhandene Verfahren entscheiden, welche Änderungen nötig sind. Ein HR-Beschwerdeverfahren, eine Compliance-Hotline oder ein Verhaltenskodex-Portal, die bereits vorhanden sind, können integriert werden - aber nur, wenn ihre Vertraulichkeit und Aufzeichnungspflichten dem Standard der Richtlinie entsprechen. Das Ergebnis dieser Analysephase ist eine Liste benannter Kanäle, benannter Empfänger und eine Umfangsangabe, welche Kategorien von Verstößen der Kanal abdeckt.

Was der interne Kanal tatsächlich leisten muss

Artikel 9 der Richtlinie legt zwei Betriebsvorgaben fest, an denen später die meisten internen Untersuchungen scheitern: Bestätigung des Eingangs innerhalb von 7 Tagen und inhaltliches Feedback an den Melder innerhalb von 3 Monaten, das die ergriffenen oder geplanten Maßnahmen beschreibt. Eine dieser Vorgaben zu verfehlen, ist der einfachste Weg, den Schutz vor späterer Klage zu verlieren.

Über die zeitlichen Vorgaben hinaus muss der Kanal Meldungen sowohl schriftlich als auch mündlich entgegennehmen, ob per Telefon, Sprachnachricht oder persönlich auf Anfrage. Er muss ein Register der Meldungen unter Aufbewahrungsfristen und Zugriffskontrolle führen. Er muss eine unparteiische Stelle oder Person mit keinen Interessenskonflikten benennen, und diese Benennung muss intern veröffentlicht werden, damit Melder wissen, mit wem sie sprechen.

Die Vertraulichkeit der Identität des Melders ist nicht verhandelbar. Die Weitergabe des Namens an jemanden außerhalb des unparteiischen Teams ohne Zustimmung ist selbst ein Verstoß, und mehrere nationale Umsetzungsgesetze verhängen eigenständige Bußgelder (oft bis zu 50.000 € pro Verstoß) allein für diese Verfehlung.

Umsetzung: Personal, Schulung und ISO 37002

Die Umsetzung ist der Moment, in dem ein Verfahren auf dem Papier zu etwas wird, das Arbeitnehmer nutzen können. Der Ausschuss oder die Person, die für die Prüfung von Meldungen zuständig ist, muss ausgewählt, geschult und ausgestattet werden. Ein HR-Generalist mit einer Hotline als Zusatzaufgabe übersteht selten einen echten Fall. Die Schulung muss über den Ausschuss hinausgehen und alle Linienmanager erreichen, die als Erste etwas hören könnten, denn der Schutz der Richtlinie greift in dem Moment, in dem jemand spricht, nicht erst, wenn er ein Formular ausfüllt.

ISO 37002:2021 ist hier das nützlichste Grundgerüst. Es ist ein Leitfaden-Standard und kein zertifizierbare Management-Standard, aber er beschreibt, wie ein funktionierendes Programm aussieht (Risikobewertung, Rollenzuweisung, Eingang, Untersuchung, Nachverfolgung, Überwachung), und es ist darauf ausgelegt, sich in einen ISO-konformen Compliance-Stack einzupassen, den eine Organisation möglicherweise bereits betreibt.

Mit dem System leben: Überwachung, Vergeltung, DSGVO

Das System ist ein lebendes Objekt, sobald es installiert ist. Die Überwachung geht über Mengen hinaus: Sie bedeutet, vierteljährlich zu überprüfen, ob die Betriebsvorgaben erfüllt werden, ob Feedback-Schreiben pünktlich versendet werden, ob das Register mit den Fallakten übereinstimmt, und ob der Kanal überhaupt genutzt wird. Eine Hotline, die über achtzehn Monate nichts erhält, ist ein Signal - gewöhnlich ein schlechtes.

Das Vergeltungsregime schreibt die HR-Verfahren neu. Sobald eine Person gemeldet hat, ist jede Benachteiligung gegen sie (Entlassung, Herabstufung, Versetzung, vorenthaltene Beförderung, Disziplinarmaßnahme) vermutungsweise Vergeltung, und der Beweislast verschiebt sich zum Arbeitgeber, um zu zeigen, dass die Maßnahme unabhängig davon stattgefunden hätte. Diese Vermutung muss in jede Personalentscheidung einfließen, die jemanden mit einer bekannten vorherigen Meldung betrifft.

Der Datenschutz überlagert alles. Whistleblower-Daten sind personenbezogene Daten im Sinne der DSGVO, daher sind Verschlüsselung bei der Übertragung und im Ruhezustand, rollenbasierter Zugriff, Aufbewahrungsfristen und ein dokumentierter Zweck nicht optional. Sie sind die gleichen Artikel-für-Artikel-Verpflichtungen, die für jedes HR-System gelten.

Die Kosten der falschen Umsetzung

Die Bußgeldwelle ist breiter als viele Vorstände realisieren. Die nationalen Umsetzungen verhängen Geldstrafen für Vergeltung, Verstöße gegen Vertraulichkeit und Behinderung von Meldungen, häufig in der Spanne von 30.000 bis 50.000 € pro Verstoß, gestapelt über mehrere Vorwürfe bei systematischen Fehlern. Auf der Überwachungsseite hat die Kommission Vertragsverletzungsverfahren gegen die meisten Mitgliedstaaten eingeleitet, die die Umsetzungsfrist versäumt haben. In der ersten Hälfte 2025 wurden gegen die fünf säumigsten Länder insgesamt etwa 40 Millionen € an Bußgeldern verhängt.

Das länderspezifische Bild bleibt uneinheitlich. Slovakien hat sich unter EU-Druck von der Auflösung seiner Hinweisgeberbehörde zurückgezogen, Deutschland erprobt die Grenzen des Schutzes vor externer Offenlegung vor Gericht, und Polen, der letzte Mitgliedstaat zur Umsetzung, hat sein Gesetz am 25. September 2024 in Kraft gesetzt.

Das ist alles nicht unmöglich intern zu betreiben, aber es ist selten billig, und die operative Ebene (das 7-Tage-Fenster einhalten, das Register sauber halten, die Unparteilichkeit des Ausschusses verteidigen) ist dort, wo die meisten Programme scheitern. WeMoral deckt diese operative Ebene von Anfang bis Ende ab, von der Verfahrensentwicklung über den Kanalbestand bis zur Erstellung des Audit-Trails, den ein Prüfer anfordern wird.