Aufgrund des Inkrafttretens der EU-Richtlinie zum Schutz von Hinweisgebern (Richtlinie 2019/1937) Ende dieses Jahres werden viele tausend betroffene Organisationen in der gesamten EU erstmals ein Whistleblowing-Programm einführen.

Es ist deshalb sehr hilfreich, dass die International Organisation for Standardization (ISO) eine optionale Norm mit Leitlinien veröffentlicht hat – ISO 37002 für Hinweismanagementsysteme. Das Ziel der Norm ist es, einen „Leitfaden für die Implementierung, Verwaltung, Bewertung, Aufrechterhaltung und Verbesserung eines robusten und effektiven Managementsystems für Whistleblowing innerhalb einer Organisation“ bereitzustellen.

Dies wirft eine offensichtliche Frage auf: Wie können die neuen ISO-Leitlinien Organisationen dabei helfen, eine Lösung zu entwickeln, die die Anforderungen der kommenden Gesetze zur EU-Richtlinie zum Schutz von Hinweisgebern erfüllt?

Was ist der Unterschied zwischen ISO 37002 und der EU-Richtlinie?

Die Hinweisgeber-Richtlinie der EU legt die Mindestanforderungen zum Schutz von hinweisgebenden Personen fest, die EU-Mitgliedsstaaten bis zum 17. Dezember 2021 in nationales Recht umsetzen müssen. Ab diesem Datum sind Organisationen mit 250 oder mehr Beschäftigten in diesen Mitgliedsstaaten auch dazu verpflichtet, die neuen Gesetze einzuhalten. Kleinere Organisationen (50-249 Beschäftigte) haben zwei weitere Jahre Zeit, um die Anforderungen zu erfüllen.

Die ISO-Norm 37002 stellt optionale Leitlinien für Organisationen bereit, die ein Managementsystem für Hinweise einrichten möchten. Ein solches System einzurichten steht bei den Anforderungen der EU-Richtlinie im Mittelpunkt. Die ISO stellt dazu weltweit anerkannte Leitlinien bereit, die internationale, optimale Verfahrensweisen enthalten, die bei der Entwicklung und dem Einsatz entsprechender Lösungen angewendet werden können.

Inwieweit sind die EU-Richtlinie und ISO 37002 vergleichbar?

Wenn man sich die genannten Ziele oder beabsichtigten Ergebnisse der beiden Dokumente ansieht, wird sofort klar, dass sie sich in den wichtigsten Schwerpunkten ergänzen.

EU-Richtlinie

  • Bereitstellung eines sicheren Meldekanals für Beschäftigte (sowohl intern als auch extern)
  • Sicherstellen, dass Beschäftigte wissen, wie und wo Fehlverhalten gemeldet werden soll
  • Bestätigung des Eingangs von Meldungen und rechtzeitige Rückmeldung
  • Wahrung der Vertraulichkeit in Hinblick auf die hinweisgebenden und in der Meldung genannten Personen
  • Schutz von Beschäftigten vor Vergeltungsmaßnahmen

ISO37002

  • Ermöglichen von Meldungen von Fehlverhalten und Ermutigung von Personen, diese Meldungen zu übermitteln
  • Sicherstellen, dass Meldungen zu Fehlverhalten ordnungsgemäß und rechtzeitig bearbeitet werden
  • Unterstützung und Schutz von hinweisgebenden Personen und anderen Parteien, die involviert sind
  • Verbesserung der Organisationskultur und -führung
  • Verringerung des Risikos von Fehlverhalten

Die Kernbestandteile (Meldungen ermöglichen, Umgang mit diesen Meldungen, wenn sie eingehen, und Schutz der Beteiligten) finden sich sowohl in den Anforderungen der Richtlinie als auch in der ISO-Norm wieder.

Der Schwerpunkt der EU-Richtlinie liegt allerdings auf Bestimmungen zum Schutz von hinweisgebenden Personen. Alle Anforderungen der Richtlinie werden jedoch – einige umfangreicher, andere nicht so detailliert – auch in der ISO-Norm berücksichtigt.

Die ISO-Leitlinien zu den Anforderungen der EU-Richtlinie

Bereitstellung sicherer Meldekanäle für Beschäftigte

Abschnitt 8 der ISO-Norm enthält Leitlinien und Empfehlungen für die Implementierung von sicheren Meldekanälen. Es werden u. a. gängige Methoden vorgeschlagen, die verwendet werden, um Meldungen zu empfangen, und was noch wichtiger ist, wie diese Methoden genutzt werden können, um die Zugänglichkeit, Vertrauenswürdigkeit und Wirksamkeit des Meldesystems zu erhöhen.

Dieser Abschnitt der ISO-Norm umfasst zudem eine nützliche Liste mit Beispielfragen, die der hinweisgebenden Person gestellt werden können und dabei helfen, entscheidende Informationen zu erfassen.

Sicherstellen, dass Beschäftigte wissen, wie und wo Fehlverhalten gemeldet werden soll

Diese Anforderung der EU-Richtlinie wird in Abschnitt 7 der ISO-Norm berücksichtigt. Dort werden Schulungs- sowie Sensibilisierungsmaßnahmen eingehend behandelt und optimale Verfahrensweisen für die Kommunikation zum Whistleblowing-Programm genannt.

Die sorgfältige Schulung und Sensibilisierung sind von entscheidender Bedeutung, um die Anforderungen der EU-Richtlinie zu erfüllen. Die detaillierten Angaben, die in der Norm zu finden sind, sollten sich deshalb bei der Festlegung des Schulungsumfangs als sehr nützlich erweisen.

Nicht nur zu verstehen, wie und wann kommuniziert werden soll, sondern auch mit wem und von wem die Kommunikation ausgehen sollte, kann bei der Sensibilisierung und, was vielleicht noch wichtiger ist, beim Aufbau des Vertrauens in das Meldeprogramm und dessen Aufrechterhaltung ebenso eine große Rolle spielen.

Bestätigung des Eingangs von Meldungen und rechtzeitige Rückmeldung

In Abschnitt 8 der Norm werden Empfehlungen zum Feedback genannt, das in jeder einzelnen Phase des Whistleblowing-Prozesses gegeben werden sollte.

Feedback-Kreisläufe zu den definierten Arbeitsschritten in diesem Abschnitt zu etablieren hilft dabei, die Kommunikation zu strukturieren und mit Erwartungen umzugehen. An dieser Stelle werden auch Leitlinien zu Eingangsbestätigungen, akzeptablen Fristen und Informationen über die Art von Feedback, die gegeben werden sollte, genannt.

Wahrung der Vertraulichkeit in Hinblick auf die hinweisgebenden und in der Meldung genannten Personen

In Abschnitt 7 der ISO-Norm wird hervorgehoben, wie wichtig es ist, die Vertraulichkeit bei allen Personen zu wahren, die in einer Meldung involviert sind. Die aufgeführten Beispiele, die bei der Planung in spezieller Weise berücksichtigt werden sollten, verdienen besondere Beachtung, da hier einige der weniger offensichtlichen Möglichkeiten genannt werden, durch die beteiligte Parteien gegebenenfalls identifiziert werden könnten.

Ein zentraler Bestandteil der Pläne zur Sicherstellung der Vertraulichkeit sollte es auch sein, Verfahren zu definieren, die angewendet werden, wenn die Vertraulichkeit gebrochen wird oder versucht wurde, die beteiligten Parteien zu identifizieren. Andere Abschnitte der Norm – die sich mit dem Datenschutz und der Kontrolle dokumentierter Informationen befassen – leisten ebenfalls einen Beitrag zur Erfüllung dieser Anforderung der EU-Richtlinie.

Schutz von Beschäftigten vor Vergeltungsmaßnahmen

Da der Schutz hinweisgebender Personen das angestrebte Ziel der EU-Richtlinie ist, widmen sich mehrere Teile der ISO-Norm der Festlegung von Verfahren, die helfen werden, diese Anforderung zu erfüllen.

Abschnitt 8 enthält Ratschläge dazu, wie Risiken durch schädliches Verhalten frühzeitig im Meldeprozess beurteilt und verhindert werden können. Die Früherkennung potenzieller Risiken wird bei der Bewertung und Untersuchung von Meldungen hilfreich sein. Umfassende Leitlinien zum Schutz von Personen, die Hinweise geben, in Meldungen genannt werden oder auf andere Weise relevant sind, werden ebenfalls in der Norm bereitgestellt. Sollten dennoch Vergeltungsmaßnahmen ergriffen werden, finden sich in dem Abschnitt auch Empfehlungen, wie mit dieser Art von schädlichem Verhalten umgegangen werden kann.

Weitere interessante Bereiche

In der ISO-Norm werden noch viele weitere Bereiche erwähnt, in denen sich noch umfassender mit der Verbesserung der Organisationskultur und -führung auseinandergesetzt wird. Bei der Planung der Implementierung eines Whistleblowing-Programms ist es durchaus hilfreich, diese Abschnitte in der Norm zu Rate zu ziehen.

Für viele Organisationen ist eine der größten Herausforderungen, zu erreichen, dass die Beschäftigten, das Programm vollkommen akzeptieren und unterstützen.

Für weitere Hintergrundinformationen dazu, wie durch die Norm Transparenz, Vertrauen und eine ethische Kultur durch Hinweisgebersysteme geschaffen werden kann, lesen Sie dieses Interview mit Dr. Wim Vandekerckhove, der die Arbeitsgruppe für die ISO-Norm 37002 einberufen hat.

Eine weltweit relevante Norm

Da die ISO-Norm ein breites Spektrum an Herausforderungen abdeckt, die mit der Einrichtung und dem Management eines Whistleblowing-Programms einhergehen, sind die Leitlinien nicht nur für die Organisationen geeignet, die von der EU-Richtlinie zum Schutz von Hinweisgebern betroffen sind, sondern auch für die, die Auflagen anderer internationaler Whistleblowing-Gesetze erfüllen müssen.

Vor dem Hintergrund der weltweiten Gesetzgebungsinitiativen in diesem Bereich kann ISO37002 dabei helfen, die Anforderungen anderer Richtlinien zu erfüllen, beispielsweise das „2019 Treasury Laws Amendment“ (zur Verbesserung des Schutzes für hinweisgebende Personen in Australien) oder das japanische Gesetz zum Schutz von hinweisgebenden Personen.

Die Nutzung optimaler Vorgehensweisen, die auf internationaler Ebene anerkannt sind, hilft Unternehmen nicht nur dabei, rechtliche Verpflichtungen zu erfüllen, sondern auch alle Vorteile aus diesen Whistleblowing-Programmen zu ziehen und sicherzustellen, dass sie tatsächlich etwas bewirken und nicht nur eine Aufgabe auf ihrer To-Do-Liste abhaken.