Die Bestimmungen der EU-Whistleblower-Richtlinie traten am 17. Dezember 2021 teilweise in Kraft. Wir warten auch auf ihre Umsetzung, die möglicherweise bald erfolgen wird, da der Gesetzesentwurf Ende letzten Jahres veröffentlicht wurde.
Organisationen, die sich bereits für die Einführung von Whistleblower-Schutzsystemen entschieden haben, können sich an den kürzlich veröffentlichten Leitlinien ISO 37002:2021 – Whistleblowing-Managementsysteme – des ISO/TC309-Komitees orientieren.
Welche Organisationen können sie nutzen?
Die ISO 37002-Richtlinien wurden so konzipiert, dass sie für nahezu jede Organisation anwendbar sind. Die Internationale Organisation für Normung (ISO) selbst erklärt, dass sie allgemeiner Natur sind und für alle Organisationen gelten, unabhängig von Art, Größe, Tätigkeitsbereich oder Sektor – öffentlich, privat oder gemeinnützig*.
Es herrscht der weitverbreitete Irrglaube, dass der Aufbau von Compliance-Systemen (z. B. AML-, DSGVO-, Anti-Mobbing- und Antidiskriminierungsverfahren sowie Whistleblower-Verfahren) auf Basis von ISO-Normen und -Richtlinien nur für Unternehmen mit umfangreichen Strukturen und erheblichen finanziellen und personellen Ressourcen möglich sei. Wie bereits erwähnt, ist dies jedoch keineswegs der Fall, und die Anwendung von ISO-Normen ist eine bewährte Methode, die zum Aufbau eines effektiven Systems beiträgt.
Was beinhalten die Richtlinien?
Dieses Dokument bietet eine Anleitung zur Einrichtung, Implementierung, Aufrechterhaltung und Verbesserung eines Hinweisgebersystems. Es wird empfohlen, den Implementierungsprozess am bekannten Deming-Zyklus (Planen-Durchführen-Überprüfen-Anpassen) zu orientieren.
Die Richtlinien basieren auf drei Hauptprinzipien – Schutz, Vertrauen und Unparteilichkeit – und umfassen vier Hauptphasen:
- Empfang von Meldungen über Unregelmäßigkeiten;
- Bewertung der eingegangenen Bewerbungen;
- auf Meldungen reagieren;
- Schließung von Whistleblower-Meldungen.
Zertifizierung
Die Richtlinien für das Whistleblowing-Managementsystem sind nicht für eine Zertifizierung ausgelegt, daher ist es nicht möglich, von einer unabhängigen akkreditierten Stelle eine Bestätigung darüber zu erhalten, dass ISO 37002 effektiv umgesetzt wurde.
Zusammenfassung
Die Anwendung von ISO-Normen und -Richtlinien bei der Konzeption und Implementierung von Compliance-Systemen ist äußerst wertvoll. Sie tragen nicht nur zum Aufbau eines effektiven Systems bei, sondern werden auch von Aufsichtsbehörden hoch geschätzt (wie beispielsweise vom Bundesamt für Datenschutz und Informationsfreiheit und den Normen ISO 27001 und 27701) und stärken das positive Image einer vertrauenswürdigen Organisation bei Kunden und Auftragnehmern.
Die praktische Anwendung der Leitlinien für Whistleblowing-Managementsysteme spiegelt sich in den Umsetzungen wider, die viele Organisationen gemäß der EU-Richtlinie vornehmen müssen. Die ISO-Leitlinien ergänzen deren Anforderungen in vielerlei Hinsicht und stellen mitunter sogar höhere Anforderungen oder legen spezifische Annahmen fest. Darüber hinaus betonen sie die Notwendigkeit, die Leitlinien an die spezifische Art und den Kontext (einschließlich des rechtlichen Kontexts) der jeweiligen Organisation anzupassen.
Ein Whistleblower-Managementsystem kann eigenständig oder als Teil des Compliance-Managementsystems einer Organisation implementiert werden. Die ISO-37002-Richtlinien ergänzen die ISO 37001 (Antikorruptionssysteme) und die ISO 37301 (Compliance-Systeme) hervorragend. Leider sind die ISO-37002-Richtlinien zu Whistleblowern noch nicht in das Übersetzungsprogramm des Polnischen Komitees für Normung (PKN) aufgenommen worden, daher muss vorerst die englische Fassung verwendet werden.
Diese Mitteilung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
* https://www.iso.org/standard/65035.html
Autor:
