Governance, Risk und Compliance (GRC) spielen eine entscheidende Rolle dabei, Organisationen durch komplexe rechtliche, regulatorische und operative Rahmenbedingungen zu navigieren. Beeinflusst wird GRC sowohl von nationalen Gesetzen als auch von EU-Vorschriften, wie dem Deutschen Corporate Governance Kodex, dem Handelsgesetzbuch (HGB) und dem Aktiengesetz.
Die EU-Richtlinie zum Schutz von Hinweisgebern (Richtlinie (EU) 2019/1937) schafft in allen Mitgliedstaaten einen gemeinsamen Rahmen. Sie stellt sicher, dass Hinweisgeber vor Repressalien geschützt sind und ihre Meldungen wirksam bearbeitet werden. Bei der Umsetzung der Richtlinie in Deutschland kam es zu Verzögerungen, aber im Jahr 2023 verabschiedete der Bundestag das Hinweisgeberschutzgesetz (HinSchG), das den Anforderungen der Richtlinie entspricht.
Schlüssel-Aspekte des Hinweisgeberschutzgesetzes
Das HinSchG verpflichtet Unternehmen ab 50 Mitarbeitern zur Einrichtung interner Meldestellen, schützt Meldende vor Repressalien und ergänzt die EU-Richtlinie durch einen erweiterten Schutzumfang, der auch nationale Rechtsverstöße einschließt. Außerdem umfasst es nicht nur Arbeitnehmer, sondern auch Freiberufler und andere Berufsgruppen. Organisationen, die keine Meldekanäle einrichten oder gegen Hinweisgeber Repressalien ergreifen, drohen Bußgelder von bis zu 100.000 Euro. Die Möglichkeit anonymer Meldungen ist nicht verpflichtend, wird aber empfohlen. Zusätzlich werden vom Bundesamt für Justiz externe Meldekanäle betrieben, die Hinweisgebern eine Alternative bieten, wenn interne Kanäle als unsicher oder unwirksam erachtet werden.
Hindernisse für Hinweisgebersysteme
Solche Hinweisgebersysteme helfen, Risiken frühzeitig zu erkennen, Compliance zu sichern und ethisches Verhalten zu fördern. In der heutigen digitalen Landschaft, in der sich Bedrohungen rasant entwickeln, bieten sie einen proaktiven Mechanismus zum Schutz von Unternehmen, Mitarbeitern und ihren Stakeholdern. Regulatorische Compliance erfordert jedoch kontinuierliche Anstrengungen und Schulungen, um den Anforderungen deutscher Mittelstandsunternehmen gerecht zu werden. Dem Gesetz nach müssen Unternehmen verschiedene Hinweisgeber-Kanäle (schriftlich, telefonisch, persönlich) anbieten, den Eingang von Meldungen innerhalb von sieben Tagen bestätigen und innerhalb von drei Monaten Feedback dazu geben. Dies erfordert ein robustes Fallmanagement. Für kleinere Unternehmen könnte sich das als erheblicher Ressourcenaufwand erweisen, da die Meldekanäle von geschulten und unabhängigen Personen oder Abteilungen betrieben werden müssen, um Interessenkonflikte zu vermeiden. Darüber erfordern die Datenschutz- und Anonymitätsansprüche des HinSchG technische Lösungen, die helfen, vertrauliche Informationen sicher zu speichern und das Nutzervertrauen zu stärken.
Whistleblowing: Herausforderungen bewältigen
Deutsche Organisationen setzen zunehmend auf integrierte GRC-Lösungen, die das Risikomanagement mit strategischen Zielen in Einklang bringen, um die Entscheidungsfindung zu verbessern. Das trägt auch dazu bei, Transparenz sowie Verantwortungsbewusstsein im Unternehmen zu fördern. Hierfür gibt es spezialisierte Plattformen, die sichere und anonyme Meldekanäle bereitstellen. Diese können mit anderen IT-Systemen wie HR-Plattformen, Enterprise-Resource-Planning-Systemen (ERP) und Sicherheitstools integriert werden. Solche Plattformen bieten in der Regel intelligente Dashboards und Analysen, die es Organisationen ermöglichen, den Status von Meldungen in Echtzeit zu überwachen. Das kann helfen, Engpässe zu erkennen und eine zeitgerechte Nachverfolgung der Fälle sicherzustellen. Außerdem können sie den Melde- und Fallmanagementprozess automatisieren und optimieren, um Verzögerungen zu vermeiden. Bei Datenschutz- und Cybersicherheitsproblemen helfen Softwarelösungen, Fehlverhalten frühzeitig zu erkennen, den Missbrauch sensibler Daten zu verhindern und Whistleblowern eine sichere Meldung zu ermöglichen. So hilft Technologie Administratoren, Risiken frühzeitig zu erkennen und zu beheben, bevor sie zu einem Problem werden. Zudem gewährleistet sie die Einhaltung des HinSchG und der DSGVO, wodurch hohe Geldstrafen und Reputationsschäden vermieden werden. Für Führungskräfte in Unternehmen bietet diese verbesserte organisatorische Transparenz einen Wettbewerbsvorteil und schafft Vertrauen durch sichere und anonyme Meldewege.
Ein Beitrag von Jan Stappers, Regulatory Solution Director bei NAVEX.
Quelle: NAVEXWeitere Informationen zu NAVEX finden Sie hier.