Auch wenn sich EU-Whistleblowing-Richtlinie und Hinweisgeber-Schutzgesetz-E nicht allein durch den Einsatz eines Softwaretools umsetzen lassen, führt für ein anforderungskonformes Hinweisgebersystem kein Weg an einer Software vorbei. Doch der Markt ist relativ unübersichtlich. Alle Anbieter proklamieren selbstverständlich für sich, das beste Tool zu liefern. Um sich jetzt nicht seitenweise durch Werbeanzeigen auf Google wahllos durchclicken zu müssen, sollte man sich zuvor Gedanken zu den Must-have-Funktionen derartiger Software machen.
Was sollten softwaregestützte Hinweisgebersysteme also dem Unternehmer und den Anwendern/Hinweisgebern bieten? Was ist aus der Sicht des Unternehmens wichtig, was ist aber auch für einen Hinweisgeber essentiell? Dazu die nachstehende kleine Übersicht:
1. aus Sicht des Unternehmens:
- Aktivitäts-Dashboard
Übersicht zu aktuell laufenden Hinweisen und deren jeweilige Bearbeitungsstati
- Alarm-/Benachrichtigungsfunktion
EU-Richtlinie und Hinweisgeber-Schutzgesetz-E sehen Fristen in der Bearbeitung von Hinweisen vor. Benachrichtigungsfunktionen zum Eingang von Hinweisen und zu anstehenden Fristen erleichtern daher die Arbeit ungemein.
- Fall-Management
Die Möglichkeit zur getrennten Bearbeitung von Hinweisen ist ein zwingendes Muss-Kriterium. Um einen Nachweis zur Einhaltung der geforderten Fristen geben zu können, sollten die einzelnen Schritte im Fall-Management chronologisch abrufbar sein.
- Klares Berechtigungssystem
Hinweise sind streng vertraulich zu behandeln. Dies kann nur gelingen, wenn auch nur diejenigen Personen einen (differenzierten) Zugriff auf den Fall haben, die dies zwingend benötigen.
- Technische Implementierung
Die Softwarelösung sollte sich möglichst ohne bzw. mit sehr geringem Aufwand in die vorhandene IT-technische Landschaft einbinden lassen. Die meisten Hinweisgebersysteme laufen derzeit cloud-basiert, so dass mit Ausnahme der Integration des Systemzugangs in Intranet oder Internet keine technische Integration erforderlich wird.
- DSGVO-Konformität
Die DSGVO formuliert einige Anforderungen an die Ausgestaltung und Sicherheit von IT-Systemen, welche personenbezogene Daten verarbeiten (z.B. privacy by design). In Hinweisgebersystemen werden – ergänzend dazu – häufig sensible personenbezogene Daten erfasst, deren Verarbeitung entsprechend hohe Anforderungen an Datenschutz und -sicherheit richtet. Dies sollte vom Anbieter zwingend sichergestellt sein.
- IT-Sicherheit
Eng verbunden mit den datenschutzrechtlichen Anforderungen sind die Notwendigkeiten der IT-Sicherheit in punkto Verfügbarkeit, Integrität und Vertraulichkeit zu sehen. Der Anbieter (cloud-basierter Lösungen) sollte daher ein sehr hohes Niveau der Datensicherheit nachweisen können. Hierzu können bspw. die regelmäßige Durchführung von Penetrationstest gehören.
- Unternehmensspezifisches Branding
Die Anpassbarkeit der Software/der Plattform auf den Außenauftritt des Unternehmens hin schafft eher Vertrauen in die Abgabe eines Hinweises als die Notwendigkeit der Platzierung auf einer allgemeinen Plattform.
2. aus Sicht des Hinweisgebers
- Anonyme Kommunikation mit Hinweisgeber
Auch wenn Anonymität nach dem aktuellen Entwurf des Hinweisgeber-Schutzgesetzes keine Pflicht ist, hat die Möglichkeit zur anonymen Abgabe von Hinweisen doch einen sehr hohen Stellenwert aus Sicht potentieller Hinweisgeber. Gleiches gilt für eine Chat-Funktion, über die im Verlauf der nachfolgenden Bearbeitung Fragen an den Hinweisgeber gestellt werden können.
- Einfache Bedienbarkeit
Eine strukturierte Führung durch die fallrelevanten Fragestellungen sowie leicht verständliche Texte erleichtern die Zugänglichkeit des Systems
- Kategorisierung von Hinweisen
Erleichtert den Einstieg zur Abgabe eines Hinweises in Form einer thematischen Zuordnung des Hinweises jeweils zu einer Kategorie. Dabei gilt, die Anzahl der Kategorien nicht zu kleinteilig bzw. zu detailliert zu wählen, da dies den Benutzer leicht verwirren kann.
- Gute Erreichbarkeit
Der Meldekanal sollte 7×24 digital über die verschiedensten Endgeräte (Notebook, Tablet, Smartphone) erreichbar sein.
Mehr zum Thema Hinweisgebersysteme auf unserer Webseite unter https://cmi-compliance.de/compliance-hinweisgeberschutz-system/