Das Thema Whistleblowing unterliegt einem immer komplexer werdenden Geflecht aus Rechtsvorschriften und Compliance-Anforderungen.
Allein im Vereinigten Königreich müssen Unternehmen den Public Interest Disclosure Act 1998 (PIDA), die britische DSGVO, den Data Protection Act 2018 und – je nach Branche – zusätzliche regulatorische Anforderungen von Behörden wie der FCA oder der CQC beachten. Unternehmen mit europäischen Niederlassungen müssen zudem die EU-Whistleblowing-Richtlinie (2019/1937) sowie die nationalen Umsetzungsgesetze jedes Mitgliedstaats, in dem sie tätig sind, einhalten.
Für Compliance-Beauftragte besteht die Herausforderung nicht nur darin, zu wissen, was das Gesetz vorschreibt, sondern auch darin, nachzuweisen, dass diese Anforderungen in jedem einzelnen Fall konsequent erfüllt werden – und zwar so, dass sie einer behördlichen Überprüfung standhalten. Fallmanagement-Software bietet die Infrastruktur, um gesetzliche Verpflichtungen in die operative Praxis umzusetzen. Diese Ressource ordnet die wichtigsten regulatorischen Anforderungen den spezifischen Plattformfunktionen zu, die diese unterstützen.
Anforderungen der EU-Whistleblowing-Richtlinie
Die EU-Whistleblower-Richtlinie erlegt Organisationen mit 50 oder mehr Beschäftigten in jedem EU-Mitgliedstaat eine Reihe von verfahrensrechtlichen Verpflichtungen auf. Eine Fallmanagement-Software erfüllt jede dieser Anforderungen direkt.
Vertraulichkeit der Identität
Die Richtlinie schreibt vor, dass die Identität der meldenden Person niemandem offenbart wird, der nicht zu den befugten Mitarbeitern gehört, die für die Entgegennahme oder Weiterverfolgung von Meldungen zuständig sind. Fallmanagement-Plattformen setzen dies durch rollenbasierte Zugriffskontrollen durch, die die Sichtbarkeit von Fällen auf bestimmtes Personal beschränken. Audit-Protokolle zeichnen jeden Zugriff vor und liefern einen nachprüfbaren Nachweis dafür, dass die Vertraulichkeitsverpflichtungen eingehalten wurden. Bei telefonischen Meldungen hat die Entscheidung, ob Anrufe aufgezeichnet werden, direkte Auswirkungen: Anbieter, die keine Anrufe aufzeichnen, eliminieren das Risiko, dass Sprachidentifikationsdaten im System vorhanden sind.
Fristen für Bestätigungen und Rückmeldungen
Organisationen müssen den Eingang einer Meldung innerhalb von sieben Tagen bestätigen und innerhalb von drei Monaten Rückmeldung zu den ergriffenen oder geplanten Maßnahmen geben. Dabei handelt es sich nicht um freiwillige Vorgaben, sondern um gesetzliche Verpflichtungen, deren Nichteinhaltung einen Verstoß gegen die Durchführungsvorschriften darstellen kann. Die automatisierte Fristenüberwachung innerhalb der Fallmanagement-Software berechnet diese Termine ab dem Zeitpunkt der Erfassung einer Meldung, versendet Erinnerungen an den zuständigen Sachbearbeiter, wenn Fristen näher rücken, und eskaliert überfällige Fälle an leitende Mitarbeiter. Der Prüfpfad des Systems liefert zeitnahe Nachweise dafür, dass Fristen überwacht und eingehalten wurden.
Buchführung
Die Richtlinie verpflichtet Organisationen dazu, Aufzeichnungen über jede eingegangene Meldung zu führen. Einige nationale Umsetzungsvorschriften gehen noch weiter: In Österreich beispielsweise müssen Aufzeichnungen über alle Verarbeitungsvorgänge im Zusammenhang mit internen Meldekanälen über die geltende Aufbewahrungsfrist hinaus drei Jahre lang aufbewahrt werden. Eine Fallmanagement-Plattform führt eine vollständige, mit Zeitstempeln versehene Aufzeichnung jeder Meldung und jeder Maßnahme während ihres gesamten Lebenszyklus – von der Entgegennahme und Triage über die Untersuchung bis hin zur Klärung und zum Abschluss – und liefert damit genau die Dokumentation, die diese Anforderungen vorsehen.
Verpflichtungen gemäß DSGVO und britischer DSGVO
Rechtsgrundlage und Datenminimierung
Die Verarbeitung von Whistleblowing-Daten erfordert eine Rechtsgrundlage gemäß Artikel 6 der DSGVO. Wenn die EU-Richtlinie oder nationales Recht interne Meldekanäle vorschreibt, kommt in der Regel die Rechtsgrundlage der rechtlichen Verpflichtung (Artikel 6 Absatz 1 Buchstabe c) zur Anwendung. Fallmanagement-Software unterstützt dies, indem sie sicherstellt, dass die Datenerhebung strukturiert ist und sich auf Informationen beschränkt, die für das gemeldete Anliegen relevant sind, was dem Grundsatz der Datenminimierung gemäß Artikel 5 entspricht. Strukturierte Erfassungsformulare leiten die Hinweisgeber dazu an, relevante Details anzugeben, ohne eine übermäßige Erhebung personenbezogener Daten zu fördern.
Datenschutz-Folgenabschätzungen
Die Bearbeitung von Hinweismeldungen gilt allgemein als risikoreich, weshalb mehrere EU-Aufsichtsbehörden sie in ihre Liste der obligatorischen Datenschutz-Folgenabschätzungen (DPIA) aufgenommen haben. Eine gut dokumentierte Fallmanagement-Plattform vereinfacht den DPIA-Prozess, indem sie technische Spezifikationen, Datenflussdiagramme, Verschlüsselungsstandards und Unterlagen zur Zugriffskontrolle bereitstellt, die direkt in die Bewertung einfließen. Die Konfiguration der Plattform selbst – einschließlich der Regelungen zum Datenstandort, der Angaben zu Unterauftragsverarbeitern und der Aufbewahrungs-Einstellungen – bildet einen wesentlichen Bestandteil der Nachweisgrundlage für die DPIA.
Speicherbeschränkungen und Aufbewahrungsfristen
Die DSGVO schreibt vor, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden dürfen. Fallmanagement-Software unterstützt die Einhaltung dieser Vorschrift durch konfigurierbare Aufbewahrungsfristen, die je nach Ausgang des Falls unterschiedliche Zeiträume vorsehen: Berichte, die nicht zu einer Untersuchung führen, können so eingestellt werden, dass sie früher gelöscht werden, während begründete Fälle länger aufbewahrt werden können, um Disziplinar- oder Gerichtsverfahren zu unterstützen. Die automatisierte Durchsetzung dieser Fristen macht eine manuelle Überprüfung überflüssig und gewährleistet eine einheitliche Anwendung im gesamten Programm.
Benachrichtigung bei Datenschutzverletzungen
Gemäß Artikel 33 muss eine Datenpanne, die Aufzeichnungen über Hinweisgeber betrifft, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Fallmanagement-Plattformen unterstützen die Reaktion auf Vorfälle durch umfassende Prüfprotokolle, die eine schnelle Ermittlung ermöglichen, auf welche Daten von wem zugegriffen wurde, und so den Prozess der Bewertung und Meldung der Datenpanne beschleunigen.
Besondere Anforderungen für Großbritannien
Das Gesetz über die Offenlegung von Informationen im öffentlichen Interesse von 1998 (Public Interest Disclosure Act, PIDA) schützt Arbeitnehmer, die berechtigte Hinweise geben, vor Benachteiligungen oder Entlassung. Zwar schreibt das PIDA keine spezifischen Verfahrensvorschriften für interne Meldekanäle vor, doch stärkt das Vorhandensein eines gut geführten, vertraulichen Whistleblowing-Systems die Position eines Arbeitgebers erheblich, falls es zu einer Klage kommt. Der Prüfpfad einer Fallmanagement-Plattform liefert den Nachweis, dass die Organisation die Meldung erhalten, ernst genommen, die Vertraulichkeit gewahrt und einen strukturierten Prozess befolgt hat – alles Faktoren, die ein Arbeitsgericht bei der Beurteilung, ob der Arbeitgeber angemessen gehandelt hat, berücksichtigen würde.
Für regulierte Branchen gelten zusätzliche Verpflichtungen. Die FCA verlangt von bestimmten Unternehmen, interne Whistleblowing-Regelungen einzurichten und einen leitenden Angestellten als „Whistleblower-Beauftragten“ zu benennen. Die Meldefunktionen der Plattform ermöglichen es dem Beauftragten, den Ablauf des Programms zu überwachen, ohne zwangsläufig Zugriff auf Einzelheiten zu den einzelnen Fällen zu haben – so wird die Vertraulichkeit gewahrt, während gleichzeitig die Governance-Aufgabe erfüllt wird.
Einhaltung von Vorschriften in mehreren Rechtsordnungen
Für Unternehmen, die in mehreren Ländern tätig sind, wird das Compliance-Umfeld deutlich komplexer. Die Umsetzung der Whistleblowing-Richtlinie durch die einzelnen EU-Mitgliedstaaten führt zu Abweichungen: unterschiedliche Schwellenwerte für anonyme Meldungen, unterschiedliche Sanktionen bei Nichteinhaltung und unterschiedliche Anforderungen an die Anhörung des Betriebsrats.
Fallmanagement-Software unterstützt die Einhaltung von Vorschriften in verschiedenen Rechtsräumen durch konfigurierbare Arbeitsabläufe, die an lokale Anforderungen angepasst werden können, während gleichzeitig ein einheitlicher globaler Standard gewahrt bleibt. Kontrollen zur Datenlokalisierung stellen sicher, dass personenbezogene Daten innerhalb der entsprechenden Rechtsordnung gehostet werden, und dank der Sprachunterstützung können Meldepflichtige das System in ihrer bevorzugten Sprache nutzen. Ein Anbieter mit fundierter Erfahrung im Umgang mit verschiedenen regulatorischen Rahmenbedingungen – und der Infrastruktur, um Organisationen in über 150 Ländern zu unterstützen – verringert den Compliance-Aufwand, der andernfalls auf das interne Team entfallen würde, um die Einhaltung der Vorschriften in jeder einzelnen Rechtsordnung zu verwalten.
Weiterführende Ressourcen
- Hub für Whistleblowing-Technologie und -Kanäle – Überblick über Meldekanäle und die Auswahl der Technologie.
- EU-Whistleblowing-Richtlinie: Compliance-Hub – Umfassender Leitfaden zu den Anforderungen der Richtlinie und ihrer Umsetzung.
- Zentrum für den rechtlichen Rahmen für Whistleblowing im Vereinigten Königreich – PIDA, Anforderungen der FCA und spezifische Verpflichtungen im Vereinigten Königreich.
- Whistleblowing-Datenschutz- und DSGVO-Hub – Datenschutzaspekte bei Whistleblowing-Systemen.
- Wie kann Fallmanagement-Software bei Untersuchungen am Arbeitsplatz helfen? – Unterstützung in jeder Phase des Untersuchungszyklus.
Wie Safecall helfen kann
Der Whistleblowing-Dienst von Safecall ist auf die Einhaltung gesetzlicher Vorschriften in verschiedenen Rechtsordnungen ausgelegt. Unsere Plattform ist seit über 25 Jahren im Rahmen der britischen und EU-Rechtsvorschriften in Betrieb und verbindet sicheres Fallmanagement mit einer rund um die Uhr erreichbaren Telefon-Hotline, die von ehemaligen britischen Polizeibeamten betreut wird – jeder von ihnen verfügt über mehr als 25 Jahre Erfahrung in der Befragung von Zeugen. Safecall ist nach ISO 27001 zertifiziert, DSGVO-konform und wird auf Servern mit Standort im Vereinigten Königreich gehostet. Das Unternehmen unterstützt Organisationen in 150 Ländern in über 175 Sprachen und bietet die doppelte Compliance-Fähigkeit für das Vereinigte Königreich und die EU, die multinationale Organisationen benötigen.
Wenn Sie erfahren möchten, wie Safecall Ihr Unternehmen bei der Einhaltung der Whistleblowing-Vorschriften unterstützen kann, wenden Sie sich an unser Team oder rufen Sie uns an unter +44 (0) 191 516 7720.
Quellen und weiterführende Literatur
- EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – eur-lex.europa.eu
- Gesetz über die Offenlegung von Informationen im öffentlichen Interesse von 1998 – legislation.gov.uk
- Datenschutz-Grundverordnung (DSGVO) der EU, Artikel 5, 6, 33, 35 – gdpr-info.eu
- Britisches Datenschutzgesetz von 2018 – legislation.gov.uk
- Morrison Foerster: Die wichtigsten Gesetze zum Thema Whistleblowing auf einen Blick – mofo.com
- FCA, Hinweisgebung bei Einlageninstituten, von der PRA benannten Wertpapierfirmen und Versicherern (PS15/24)