Von IT bis HR: Welche Abteilungen arbeiten mit der internen Meldestelle zusammen?

Die Umsetzung der Hinweisgeberrichtlinie fällt in den unmittelbaren Aufgabenbereich der Compliance-Abteilung. Die Compliance-Abteilung ist dafür zuständig, die Einhaltung von Gesetzen und Richtlinien im Unternehmen zu überwachen und zu gewährleisten. Daher befasst sie sich auch mit der Einhaltung der DSGVO. 

Es ist naheliegend, die interne Meldestelle zu einem Teil der Compliance-Abteilung zu machen. So kann sie von den Mitarbeitern betrieben werden, die sich im Unternehmen am besten mit Gesetzen und Richtlinien auskennen. 

Egal, wer Meldestellenbeauftragter ist: Die Compliance-Abteilung ist in jedem Fall in die Umsetzung des Hinweisgeberschutzes involviert. Womöglich wenden sich Mitarbeiter zunächst an Compliance-Mitarbeiter, um einen Verstoß oder Missstände zu melden. Der Compliance-Mitarbeiter leitet den Hinweis dann an die interne Meldestelle weiter oder weist den Hinweisgeber darauf hin, das zu tun. Zudem kann die Compliance-Abteilung den Meldestellenbeauftragten aufgrund ihrer Expertise bei der Plausibilitätsprüfung von eingehenden Hinweisen unterstützen. Auch mit der Klärung von eingegangenen Hinweisen und der Festlegung von Folgemaßnahmen ist die Compliance-Abteilung betraut. 

Nicht jedes Unternehmen hat eine eigene Compliance-Abteilung. Vor allem für KMUs ist die Einrichtung einer Compliance-Abteilung aus personellen und finanziellen Gründen schwierig und lohnt sich bis zu einer gewissen Unternehmensgröße auch nicht. In diesem Fall muss eine andere Person im Unternehmen mit der Überwachung der Compliance betraut werden. Geeignet dafür ist zum Beispiel der interne oder externe Datenschutzbeauftragte. 

Gibt es im Unternehmen eine eigene Abteilung für interne Revision, ist sie die erste Anlaufstelle, um die Plausibilität von eingehenden Meldungen zu prüfen und die nächsten Schritte einzuleiten. Anders als die Compliance-Abteilung ist die interne Revision mit der Prüfung in allen Unternehmensbereichen und nicht nur in Compliance-Fragen betraut. 

Auch die Personalabteilung kann für Mitarbeiter ein Ansprechpartner sein, wenn es um die Meldung von Fehlverhalten und Verstößen geht. Das ist vor allem dann der Fall, wenn es keine eigene Compliance-Abteilung gibt. Wie die Compliance-Abteilung ist sie dann dafür zuständig, die Hinweise an die interne Meldestelle weiterzuleiten oder den Hinweisgeber dazu aufzurufen. Auch in die Fallbearbeitung ist die Personalabteilung involviert. Zur Klärung eines Sachverhalts sind womöglich Mitarbeitergespräche notwendig. Eine Folge aus der eingereichten Meldung von Verstößen und Fehlverhalten kann auch eine Kündigung oder Freistellung sein. Auch diese Maßnahmen liegen im Zuständigkeitsbereich der HR-Abteilung.

In Zusammenhang mit der Hinweisgeberschutzgesetz hat der Betriebsrat wie bei anderen Fragen auch Mitbestimmungsrechte und Informationsrechte. Daher muss auch der Betriebsrat in die Einrichtung der Meldestelle involviert werden. 

„Schnell die interne Meldestelle einrichten, damit wir unseren Pflichten nachkommen und Ruhe ist“ – so funktioniert das nicht. Das Hinweisgeberschutzgesetz kann seine Wirkung nur dann entfalten, wenn die Existenz der internen Meldestelle ausreichend kommuniziert wird. Schließlich ist Sinn und Zweck der Whistleblower-Richtlinie, Hinweisgeber vor negativen Konsequenzen aufgrund ihrer Meldung zu schützen. So sollen Mitarbeiter dazu ermutigt werden, Fehlverhalten und Compliance-Verstöße zu melden. Das Ergebnis ist eine transparentere Unternehmenskultur. Das funktioniert nur, wenn alle Mitarbeiter über die Existenz und die Funktionsweise der internen Meldestelle aufgeklärt werden. Das ist die Aufgabe der Kommunikationsabteilung. Je nach Unternehmensgröße können auch Vorgesetzte und Abteilungsleiter die Aufklärung ihrer Teams übernehmen. Damit sich jeder Mitarbeiter vorab mit der Nutzung der Meldestelle vertraut machen kann, lohnt sich die Organisation einer kurzen Schulung. 

Nach DSGVO sind personenbezogene Daten besonders zu schützen. Auch bei der Abgabe einer Meldung durch einen Whistleblower sind personenbezogene Daten im Spiel. Es ist für Unternehmen wichtig, alle Daten jederzeit vertraulich zu behandeln und die Identität von Whistleblowern und betroffenen Personen zu schützen. Das geht nur, wenn die Regelungen der DSGVO umgesetzt werden. Bei der erstmaligen Einrichtung des Hinweisgebersystems ist daher auf die Konformität mit der DSGVO und anderen Datenschutzgesetzen zu achten. Sinnvoll ist auch eine Schulung der Mitarbeiter zur Nutzung des Hinweisgebersystems, sowohl aus Sicht der Hinweisgeber als auch aus Sicht von Hinweisempfängern. Der beste Ansprechpartner für die Prüfung der DSGVO-Konformität ist der interne oder externe Datenschutzbeauftragte. Die Expertise des Datenschutzbeauftragten ist auch dann gefragt, wenn Hinweise zu Datenschutzverstößen eingehen. 

Die beste Lösung für eine Meldestelle ist ein digitales Hinweisgebersystem in Form einer Whistleblower-Software. In Zusammenarbeit mit dem Anbieter der Software kümmert die IT-Abteilung sich um die Einrichtung des digitalen Hinweisgebersystems. Sie ist auch Ansprechpartner im Falle von technischen Problemen bei der Nutzung der Meldestelle. Außerdem führt sie regelmäßige Penetrationstests durch, um die Sicherheit der Daten im Hinweisgebersystem zu gewährleisten. Nach DSGVO sind personenbezogene Daten für eine bestimmte Frist aufzubewahren und nach Ablauf der Frist zu löschen. Den Speicherort und das Löschkonzept klärt die IT-Abteilung zusammen mit dem Datenschutzbeauftragten ab. 

Bei der Klärung von Missständen und Compliance-Verstößen geht es vor allem auch um Rechtsfragen. Hier ist der fachkundige Rat der Rechtsabteilung oder des Unternehmensanwalts gefragt. Die jeweils zuständigen Rechtsexperten legen fest, welche rechtlichen Schritte eingeleitet werden müssen, zum Beispiel eine Schadenersatzklage oder eine Strafanzeige. 

Die genannten Abteilungen arbeiten nicht nur direkt mit der Meldestelle zusammen, sondern auch untereinander. Alle Aufgabenbereiche sind miteinander verzahnt: Der Datenschutzbeauftragte klärt die Sicherheit der Daten auch mit der IT-Abteilung ab, die Rechtsabteilung oder Compliance-Abteilung kommuniziert notwendige Maßnahmen in Bezug auf betroffene Mitarbeiter an die HR-Abteilung usw. Umso wichtiger ist es jetzt für Unternehmen, die Prozesse für eine reibungslose Zusammenarbeit der einzelnen Abteilungen zu optimieren. 

Neben einer effizienten Umsetzung des Hinweisgeberschutzes ist auch jederzeit die Vertraulichkeit zu wahren, um Whistleblower ebenso wie beteiligte Personen angemessen zu schützen. Nicht zuletzt ist Feingefühl angebracht, um Konflikte in Zusammenhang mit gemeldeten Verstößen und Missständen idealerweise intern und ohne Eskalation zu klären.  Nur so können Unternehmen den problemlosen Betrieb der internen Meldestelle und maximale Compliance mit dem Hinweisgeberschutzgesetz sicherstellen.