Wie implementiert man eine Whistleblowing-Software?
Die EU-Whistleblower-Richtlinie ist nun in ganz Europa geltendes Recht. Unternehmen fragen nicht mehr, ob sie einen Meldekanal benötigen. Stattdessen prüfen sie, ob ihr aktuelles System den Regeln entspricht. Die Einrichtung dieser Kanäle erfolgt in drei klaren Schritten: Planung, Aufbau und Betrieb. Diese Schritte sind für Unternehmen heute tägliche Realität.
Wichtigste Erkenntnisse
- Jeder private Arbeitgeber mit 50 oder mehr Mitarbeitern muss über einen internen Meldekanal verfügen.
- Holding-Gesellschaften dürfen nicht ein gemeinsames Postfach für verschiedene rechtliche Einheiten nutzen.
- Meldungen müssen innerhalb von 7 Tagen bestätigt werden, und eine Rückmeldung muss innerhalb von 3 Monaten erfolgen.
- Whistleblower erhalten rechtlichen Schutz in dem Moment, in dem sie sich zum ersten Mal äußern.
- Bußgelder für die Verletzung der Vertraulichkeit oder für Vergeltungsmaßnahmen können bis zu 50.000 € pro Fall erreichen.
Analyse der Organisation vor der Verfahrensentwicklung
Zuerst müssen Sie Ihr Unternehmen analysieren. Die Mitarbeiterzahl ist am wichtigsten. Jeder private Arbeitgeber mit 50 oder mehr Beschäftigten muss seit Ende 2023 einen Kanal betreiben. Auch die Konzernstruktur spielt eine Rolle. Holding-Gesellschaften können nicht einfach ein gemeinsames Postfach nutzen. Ein Bericht der Kommission vom Juli 2024 stellte fest, dass dies oft gegen die Regeln verstößt.
Eine Holding mit vielen Einheiten muss die Daten getrennt halten. Die Europäische Kommission erklärt, dass gemeinsame Postfächer ein häufiger Fehler sind. Jede rechtliche Einheit benötigt eigene Grenzen, um die meldende Person zu schützen.
Prüfen Sie, welche Systeme Sie bereits haben. Vielleicht nutzen Sie einen HR-Weg oder ein Portal für den Verhaltenskodex. Sie können diese beibehalten, aber nur, wenn sie die hohen Anforderungen der Richtlinie erfüllen. Sie müssen über eine klare Liste von Kanälen und unparteiische Empfänger verfügen. Außerdem benötigen Sie einen Anwendungsbereich, der festlegt, welche Gesetze der Kanal abdeckt.
Was der interne Kanal tatsächlich leisten muss
Artikel 9 der Richtlinie enthält zwei Hauptregeln. Sie müssen innerhalb von 7 Tagen antworten und innerhalb von 3 Monaten eine vollständige Rückmeldung geben. Der Kanal muss Meldungen schriftlich und mündlich entgegennehmen. Dies schließt Telefonanrufe oder Treffen ein. Wenn Sie diese Schritte versäumen, wird Ihr Programm scheitern.
| Aspekt | Interner Kanal | Externer Kanal (Behörde) |
|---|---|---|
| Betrieben durch | Unparteiische Einheit des Arbeitgebers oder benannte Person | Nationale Behörde, die durch das Umsetzungsgesetz benannt wurde |
| Eingangsbestätigung | Innerhalb von 7 Tagen | Innerhalb von 7 Tagen |
| Inhaltliche Rückmeldung | Innerhalb von 3 Monaten | Innerhalb von 3 Monaten |
| Wahl der meldenden Person | Erster Weg, aber nicht verpflichtend | Kann direkt genutzt werden, ohne den Schutz zu verlieren |
Ihr Kanal muss einfach zu bedienen sein. Er sollte Meldungen per Telefon, Voicemail oder persönlich entgegennehmen. Sie müssen ein sicheres Protokoll über jede Meldung führen. Außerdem müssen Sie ein neutrales Team benennen, das diese bearbeitet. Informieren Sie Ihre Mitarbeiter darüber, wer diese Personen sind, damit sie wissen, wem sie vertrauen können.
Die Geheimhaltung des Namens der meldenden Person ist entscheidend. Wenn Sie ihn ohne Zustimmung weitergeben, verstoßen Sie gegen das Gesetz. Einige Länder verhängen mittlerweile Bußgelder von bis zu 50.000 € für diesen einzelnen Fehler.
Der Aufbau: Menschen, Schulung und ISO 37002
Nun müssen Sie Ihren schriftlichen Plan in ein echtes Werkzeug verwandeln. Sie müssen die Personen auswählen und schulen, die die Berichte prüfen werden. Ein HR-Mitarbeiter, der dies als Zusatzaufgabe erledigt, reicht nicht aus. Sie müssen auch jeden Manager schulen. Der Schutz beginnt in dem Moment, in dem sich ein Mitarbeiter äußert, selbst wenn er kein Formular ausfüllt.
ISO 37002:2021 ist hierfür ein hervorragender Leitfaden. Es ist keine Auszeichnung, die man gewinnt, aber es zeigt, wie ein gutes Programm aussieht. Es deckt Risiken, die Annahme von Meldungen und die Art der Untersuchung ab. Es passt gut zu anderen ISO-Regeln, die Ihr Unternehmen möglicherweise bereits befolgt.
Mit dem System leben: Überwachung, Vergeltung, DSGVO
Sobald das System live ist, halten drei Dinge den Betrieb aufrecht. Überwachung bedeutet, jedes Quartal Ihre Antwortzeiten und Protokolldateien zu überprüfen. Regeln zu Vergeltungsmaßnahmen bedeuten, dass Sie beweisen müssen, dass jede Maßnahme gegen eine meldende Person fair war. Die DSGVO-Regeln gelten für jedes Datenelement, das Sie erfassen.
Überwachung bedeutet mehr als nur das Zählen von Berichten. Wenn eine Hotline achtzehn Monate lang stumm bleibt, stimmt etwas nicht. Es bedeutet meistens, dass die Menschen dem System nicht vertrauen oder gar nicht wissen, dass es existiert.
Die Regeln zu Repressalien verändern die Arbeitsweise der Personalabteilung. Wenn eine Person einen Verstoß meldet, können Sie sie nicht einfach entlassen oder versetzen. Jede negative Maßnahme wird als Vergeltung vermutet. Die Beweislast liegt bei Ihnen, um zu zeigen, dass die Maßnahme fair war. Dies muss jede HR-Entscheidung beeinflussen, die eine meldende Person betrifft.
Datenregeln sind nicht optional. Jede Meldung enthält personenbezogene Daten gemäß der DSGVO. Sie müssen Verschlüsselung einsetzen und einschränken, wer die Dateien einsehen kann. Außerdem benötigen Sie einen klaren Grund für die Aufbewahrung der Daten. Dies sind dieselben Pflichten, die für jedes HR-Tool gelten.
Die Kosten von Fehlern
Die Kosten des Scheiterns sind hoch. Viele Länder verhängen Bußgelder gegen Unternehmen für Vergeltungsmaßnahmen oder die Verletzung des Geheimnisses. Diese Bußgelder liegen oft im Bereich von 30.000 € bis 50.000 € pro Fall. Fünf Länder, die zu langsam handelten, wurden im Jahr 2025 sogar mit insgesamt 40 Millionen € belegt.
Bußgelder sind erst der Anfang. Die Kommission beobachtet auch, wie Unternehmen mit Geheimhaltung und Vergeltung umgehen. Sie hat diese beiden Bereiche für genauere Prüfungen in der Zukunft markiert.
Die Landkarte Europas sieht in jedem Land immer noch anders aus. Die Slowakei behielt ihr Amt für Whistleblower nach Druck der EU bei. Deutschland testet seine Regeln noch immer vor Gericht. Polen hat sein Gesetz am 25. September 2024 in Kraft gesetzt.
Sie können diese Systeme selbst betreiben, aber es ist weder einfach noch billig. Die Einhaltung der 7-Tage-Frist und die Sauberhaltung der Protokolle ist der Punkt, an dem die meisten Unternehmen scheitern. WeMoral ist eine verwaltete Hinweisgeber-Software, die diese Arbeit für Sie übernimmt. Wir helfen bei den Plänen, dem Kanal und den Prüfprotokollen, die Sie für Inspektoren benötigen.
Compliance-Spezialist mit Fokus auf Richtlinien-Umsetzung und internem Informationsfluss. Schreibt über EU-Regulierung, bekannte Fälle und Meldesysteme.