Was bedeutet Vertrauen in ISO 37002?

Vertrauen in ISO 37002 ist eine Wahrnehmung, die interessierte Parteien gegenüber dem System haben. Klausel 5.1.2 verknüpft die Vertrauenswürdigkeit damit, ob interessierte Parteien wahrnehmen, dass das Management dem System verpflichtet ist und die Verfahren befolgt, was ein sichtbares Engagement der Führung und eine Speak-up- / Listen-up-Kultur erfordert.

Was ist Unparteilichkeit gemäß ISO 37002?

Unparteilichkeit durchzieht sowohl die Bewertung (Klausel 8.3) als auch die Untersuchung (Klausel 8.4). Fallbearbeiter müssen qualifiziert sein, fair gegenüber der beteiligten Geschäftseinheit, fair gegenüber der gemeldeten Person und fair gegenüber dem Hinweisgeber. Entscheidungsträger müssen frei von tatsächlichen oder potenziellen Interessenkonflikten sein.

Welchen Schutz verlangt ISO 37002 für Hinweisgeber?

Der Schutz umfasst Benachteiligung und Repressalien, die Sicherung der Identität, Unterstützungsmaßnahmen (Beratung, Arbeitsplatzanpassung, fairer Zugang zu Beförderung und Schulung) und ein Wiedergutmachungsprinzip: Wo ein Schaden eingetreten ist, sollte der Hinweisgeber in die Situation zurückversetzt werden, in der er sich befunden hätte, wenn er keine Benachteiligung erlitten hätte.

Vorschriften

ISO 37002 Whistleblowing-Managementsystem

Die meisten Fehlverhalten am Arbeitsplatz werden durch interne Meldungen aufgedeckt. Sie werden nicht durch Audits oder Aufsichtsbehörden gefunden. Menschen, die nah an der Arbeit sind, sehen Dinge, die Prüfer übersehen. Sie melden sich zu Wort, wenn sie sich sicher fühlen. Die EU Whistleblower Directive (2019/1937) hat dies in der gesamten EU zur rechtlichen Pflicht gemacht. Sie hat den Unternehmen jedoch nicht gesagt, wie sie ein gutes System betreiben sollen. ISO 37002:2021 wurde entwickelt, um diese Lücke zu füllen. Es ist der Leitfaden, der Unternehmen dabei hilft, die gesetzlichen Mindestanforderungen zu erfüllen.

Wichtigste Erkenntnisse

ISO 37002 ist ein globaler Leitfaden für den Betrieb eines vertrauenswürdigen Hinweisgebersystems.
Der Standard ruht auf drei Säulen: Vertrauen, Unparteilichkeit und Schutz.
Er definiert einen klaren vierstufigen Prozess: Erhalten, Bewerten, Adressieren und Abschließen.
Obwohl er selbst nicht zertifizierbar ist, hilft er Unternehmen, die von der EU festgelegten gesetzlichen Mindestanforderungen zu erfüllen.
Die Verwendung dieses Leitfadens hilft, die Vertrauenslücke zu schließen und das Risiko von Geldstrafen zu verringern.

Drei Säulen mit der Beschriftung Vertrauen, Unparteilichkeit und Schutz, die einen Steinbalken tragen

Was ISO 37002 eigentlich ist und was nicht

ISO 37002:2021 ist ein Leitfaden für das Management von Hinweisgebern. Er wurde am 27. Juli 2021 veröffentlicht. Er zeigt Unternehmen, wie sie ein vertrauenswürdiges System betreiben. Man kann dafür kein Zertifikat erhalten. Die verwandte ISO 37301 ist diejenige, für die man sich zertifizieren lassen kann. ISO 37002 eignet sich für jedes Unternehmen jeder Größe. Die Anwendung ist freiwillig, aber viele Aufsichtsbehörden fordern sie mittlerweile ein.

Es gibt einen großen Unterschied zwischen Leitfäden und Regeln. Ein Leitfaden sagt Ihnen, wie Sie etwas tun sollen. Er gibt Prüfern keine Checkliste an die Hand, die sie gegen Sie verwenden können. ISO 37002 ist der Kernleitfaden, den Unternehmen nutzen, um ein starkes Compliance-System aufzubauen. Auch wenn er nicht zertifizierbar ist, bildet er das Rückgrat für diejenigen, die es sind.

Dieser Standard nutzt die gleiche Struktur wie ISO 9001 und andere gängige Regeln. Er besteht aus zehn Teilen in einer festgelegten Reihenfolge. Dazu gehören Anwendungsbereich, Führung, Planung und mehr. Wenn Sie schon einmal ein ISO-System genutzt haben, werden Sie das Layout kennen. Wenn nicht, werden Sie feststellen, dass es sich leicht in Ihre bestehenden Strukturen integrieren lässt.

ISO 37002 ist für jeden Sektor und jede Unternehmensgröße geeignet. Er gilt für jede Art von Tätigkeit. Dies schließt öffentliche, private und gemeinnützige Gruppen ein. Er ist freiwillig, aber einige Partner verlangen möglicherweise die Einhaltung, um Verträge zu erhalten.

Vertrauen, Unparteilichkeit, Schutz: die drei tragenden Prinzipien

Drei Wörter sind entscheidend für diesen Standard: Vertrauen, Unparteilichkeit und Schutz. Die Regeln besagen, dass Ihr System diese drei Ideen nutzen muss. Zudem müssen Sie während des gesamten Prozesses Rückmeldung geben. Jeder Teil des Standards lässt sich auf diese drei Säulen zurückführen.

Vertrauen ist die Art und Weise, wie Menschen Ihr Unternehmen wahrnehmen. Der Standard besagt, dass Vertrauen davon abhängt, ob die Mitarbeiter glauben, dass die Vorgesetzten den Regeln verpflichtet sind. Das bedeutet, dass Führungskräfte zeigen müssen, dass es ihnen wichtig ist. Sie müssen eine „Speak-up“-Kultur aufbauen. Zudem müssen sie es den Mitarbeitern leicht machen, Probleme zu melden, ohne Angst um ihren Arbeitsplatz haben zu müssen.

Unparteilichkeit bedeutet, fair zu sein. Die Regeln besagen, dass diejenigen, die Fälle bearbeiten, qualifiziert sein müssen. Sie müssen dem Unternehmen, dem Hinweisgeber und der gemeldeten Person gegenüber fair sein. Wenn Sie intern keine Unparteilichkeit gewährleisten können, ziehen Sie einen externen Experten hinzu. Entscheidungsträger dürfen keine Interessenkonflikte haben. Ihre Befugnisse müssen klar schriftlich festgehalten sein.

Schutz deckt viele Bereiche ab. Er verhindert Repressalien und schützt die Identität. Er bietet zudem Unterstützung wie Beratung oder Arbeitsplatzanpassungen. Eine wichtige Regel besagt, dass ein Hinweisgeber, der geschädigt wurde, in seinen ursprünglichen Zustand „wiederhergestellt“ werden muss. Der Schutz endet nicht mit dem Abschluss des Falls. Das System muss auf spätere Probleme achten.

Das vierstufige operative Playbook (Klausel 8)

Klausel 8 ist das Herzstück von ISO 37002. Sie unterteilt die Arbeit in vier Schritte: Erhalten, Bewerten, Adressieren und Abschließen. Sie sagt Ihnen, wie Sie jeden Schritt gut ausführen. Wenn Sie einen Schritt überspringen, wird das System scheitern. Sie müssen alle vier Phasen für einen vollständigen Zyklus durchlaufen.

Kreisdiagramm mit den vier Phasen Erhalten, Bewerten, Adressieren, Abschließen

Erhalten befasst sich damit, wie Sie Meldungen erhalten. Dies kann per Telefon, Web oder persönlich geschehen. Der Standard besagt, dass diese Kanäle leicht zu finden und sicher sein müssen. Sie müssen von der normalen Managementhierarchie getrennt sein. Auf diese Weise geht eine Meldung über einen Vorgesetzten nicht an diesen Vorgesetzten. Sie müssen schnell reagieren. Die Regeln schlagen eine sofortige automatische Antwort vor. Senden Sie dann innerhalb von drei Tagen eine persönliche Nachricht. Das EU-Recht gibt Ihnen sieben Tage Zeit, aber ISO möchte, dass Sie schneller sind.

Bewerten ist der Zeitpunkt, an dem Sie entscheiden, was als Nächstes zu tun ist. Sie sortieren jede Meldung nach ihrer Ernsthaftigkeit. Sie müssen Ihre Entscheidung schriftlich festhalten. Sie prüfen, ob die Meldung zu Ihren Regeln passt. Sie prüfen auch, ob Sie die Polizei informieren müssen. Sie müssen prüfen, ob die Person, die sich zu Wort gemeldet hat, gefährdet ist.

Adressieren ist der Schritt der Untersuchung. Sie müssen davon ausgehen, dass Personen unschuldig sind, bis das Gegenteil bewiesen ist. Sie müssen den Reporter, das Thema und alle Zeugen schützen. Untersuchungen müssen fair sein und Geheimnisse bewahren. Die Sicherung von Beweisen ist ein wichtiger Teil des Schutzes aller Beteiligten.

Abschließen ist der Schritt, den die meisten Unternehmen überspringen. Er beinhaltet herauszufinden, was passiert ist, und Maßnahmen zu ergreifen. Sie müssen mit dem Hinweisgeber sprechen. Sie prüfen auch, ob dieser noch sicher ist. Dann lernen Sie aus dem Fall, um das System zu verbessern. Jeder Abschluss muss schriftlich festgehalten werden. Sie können in einem realen Hinweisgeberverfahren sehen, wie das funktioniert.

Wo ISO 37002 die Lücken füllt, die die Richtlinie lässt

Die EU Directive legt die grundlegenden rechtlichen Regeln fest. Sie deckt ab, wer geschützt ist und wie schnell Sie reagieren müssen. Sie sagt Ihnen jedoch nicht, „wie“ Sie die Arbeit erledigen sollen. ISO 37002 füllt diese Lücke. Sie liefert Details zu anonymen Meldungen, Mitarbeiterkompetenzen und dem, was als Schaden gilt.

Bei anonymen Meldungen ist der Standard klar. Unternehmen können sie zulassen, müssen die Mitarbeiter jedoch vor den Risiken warnen. Es ist schwieriger, jemanden zu untersuchen oder zu schützen, wenn man nicht weiß, wer er ist. Die Regeln helfen Ihnen, Wege einzurichten, um mit ihnen zu kommunizieren und gleichzeitig ihre Identität geheim zu halten. Der Standard zwingt Sie nicht dazu, es zuzulassen; er sagt Ihnen nur, wie Sie es richtig machen.

Bei den Mitarbeiterkompetenzen listen die Regeln acht Hauptmerkmale auf. Dazu gehören Vertrauen, Integrität und gutes Urteilsvermögen. Dies sind nicht nur leere Worte. Sie werden verwendet, um die richtigen Personen für den Umgang mit sensiblen Meldungen auszuwählen. Nur die besten Mitarbeiter sollten die Identität eines Hinweisgebers kennen.

Beim Schaden verwendet der Standard eine breite Definition. Er deckt viel mehr ab als nur die Entlassung von jemandem. Dazu gehören Degradierungen, schlechte Bewertungen oder sogar das bloße Ignorieren von jemandem. Dies hindert Unternehmen daran, zu argumentieren, dass ein „schlechtes Arbeitsumfeld“ keine Repressalie sei. Die Regeln sind sehr klar, um die Mitarbeiter zu schützen.

Integration von 37002 mit 37001 und 37301

ISO 37002 ist Teil eines dreistufigen Stapels. Sie ist verknüpft mit ISO 37001 (Bestechung) und ISO 37301 (Compliance). Alle drei nutzen die gleiche Struktur. Das bedeutet, dass ein Unternehmen alle nutzen kann, ohne Zeit zu verschwenden. Die neuen ISO 37001-Regeln verweisen nun auf 37002 für das Hinweiswesen.

Dimension	ISO 37002	ISO 37001	ISO 37301
Anwendungsbereich	Hinweisgebermanagement	Anti-Bestechungs-Management	Compliance-Management
Zertifizierbar	Nein (Leitfaden)	Ja	Ja
Fokus	Meldungen, Untersuchungen, Schutz von Hinweisgebern	Bestechungsprävention und Reaktion	Unternehmensweite Compliance
Veröffentlicht	2021	2025 (überarbeitet)	2021

Der ISO 37001-Standard von 2025 besagt, dass Sie eine leistungsfähige Hinweisgeber-Software benötigen, um Bestechung zu stoppen. ISO 37002 ist auch mit Regeln zu Risiko und Datensicherheit verknüpft. Es ist nicht nur eine „HR-Aufgabe“. Es ist ein wichtiger Teil davon, wie Sie Ihr Unternehmen sicher führen.

Wenn Sie ganz von vorne anfangen, beginnen Sie mit ISO 37002. Nutzen Sie sie, um das Kernsystem aufzubauen. Fügen Sie dann ISO 37301 hinzu, um sich zertifizieren zu lassen. Zielen Sie nicht zuerst nur auf ein Zertifikat ab. Wenn Sie das tun, werden Sie zwar viel Papier haben, aber ein System, das nicht funktioniert.

Was Benchmarks und Durchsetzungsmaßnahmen für 2025 offenbaren

Klassizistische Gerichtssilhouette über einer flachen Karte Europas mit gepunkteten Landesgrenzen

Viele EU-Systeme funktionieren noch nicht gut. Berichte zeigen, dass die Quoten für Repressalien in der EU doppelt so hoch sind wie in Nordamerika. Zudem dauert es in der EU 69 Tage, um einen Fall abzuschließen, verglichen mit nur 19 in den USA. Im Jahr 2025 belegte das EU-Gericht fünf Staaten mit Geldstrafen in Höhe von 38 Millionen Euro, weil sie die Regeln zu langsam umgesetzt hatten.

EU-Unternehmen erhalten weniger Meldungen als Unternehmen in den USA. Mehr dieser Meldungen sind anonym. Mitarbeiter in der EU warten zudem länger, bevor sie sich zu Wort melden. Dies zeigt, dass es immer noch an Vertrauen in das System mangelt.

Diese Zahlen zeigen, dass Vertrauen das Hauptproblem ist. ISO 37002 hilft, dies zu lösen. Sie enthält Regeln für Führungskräfte, um besser zu kommunizieren. Die EU-Gesetze sind stark, aber die eigentliche Arbeit ist zu langsam. Die Kennzahlen des Standards helfen Vorständen zu erkennen, wo die Lücken liegen. Sie können diese dann beheben, um das System zu verbessern.

Die Regeln werden strenger. Im März 2025 belegte das EU-Gericht fünf Staaten mit Geldstrafen wegen Verspätung. Deutschland wurde zu einer Zahlung von 34 Millionen Euro verurteilt. Andere Staaten wie Estland und Ungarn wurden ebenfalls mit Geldstrafen belegt. Alle Staaten haben mittlerweile Gesetze verabschiedet, aber viele sind noch nicht vollständig konform. Sie können dies in unserer europäischen Länderliste verfolgen.

ISO 37002 ist freiwillig, aber sie ist sehr hilfreich. Sie ersetzt nicht das Gesetz. Stattdessen hilft sie Ihnen, gesetzliche Regeln in ein funktionierendes System umzuwandeln. Sie stellt sicher, dass Sie nützliche Meldungen erhalten und dass Untersuchungen fair sind. Sie baut ein System auf, dem die Menschen tatsächlich vertrauen. Die Entscheidung, ihr zu folgen, liegt bei Ihnen, aber die Daten zeigen, dass dies der beste Weg zum Erfolg ist.

Aktualisiert am 2026-05-19

Damian Sawicki

Rechtsberater für Wirtschafts-, Handels- und Recht des geistigen Eigentums. Schreibt über Whistleblower-Gesetze, die EU-Richtlinie und Meldeverfahren.