Hinweisgeberschutzgesetz – Wer ist betroffen?

Unternehmen mit mehr als 50 Beschäftigten und Gemeinden mit mehr als 10 000 Einwohnern werden verpflichtet, zuverlässig funktionierende Meldekanäle einzurichten.

Wie schützen Hinweisgebersysteme die Anonymität von meldenden Personen?

Bei der Wahl eines Hinweisgebersystem Anbieters sollte darauf geachtet werden, dass alle Maßnahmen ergriffen werden, um die Anonymität der Person von vorneherein zu gewährleisten. Das heißt, dass die Applikation erst gar keine Informationen der hinweisgebenden Person erfasst.

Wie wird die Anonymitätswahrung bei einem Hinweisgebersystem technisch gewährleistet?

Elektronische Hinweisgebersysteme sollten keine iFrames, Cookies oder IP-Tracking in Verwendung haben. Des Weiteren ist es wichtig, dass auch vom Rechenzentrumsbetreiber keine unnötige Datensammlung erfolgt. So sollte nicht die vollständige IP-Adresse des meldenden Hinweisgebers mit erfasst werden.

Wieso sollte ein Hinweisgebersystem Cookies anwenden? Dies widerspricht doch dem Grunde nach der Anonymitätswahrung.

Es gibt Hinweisgebersystem Anbieter die beispielsweise im Rahmen der internationalen Anwendung der Anwendungen mehrere Sprachen anbieten. Hier wird z.B. bei einem Hinweisgeber aus den USA nicht „Deutsch“ als Sprache angezeigt sondern Englisch. Dies ist ein Zeichen dafür, dass Informationen der hinweisgebenden Person mit erfasst werden und die Anonymität hinter „Usability“ gestellt wird.

Ein weiteres Anwendungsbeispiel ist, dass elektronische Hinweisgebersysteme einen „Zähler“ im System integrieren, sodass das Unternehmen sehen kann, wie viele potentielle Hinweisgeber auf dem Formular waren. Der Mehrwert ist fraglich, da tatsächliche Hinweise relevant sind und nicht wie viele „Klicks“ ein Hinweis-Formular bekommt. Dies erinnert mich an die Anfänge von Websites wo „Zähler“ auf diesen eingebaut wurden.

Was sollte bei einem Hinweisgebersystem noch beachtet werden?

Wichtig ist im Rahmen der DSG-VO ein deutsches Rechenzentrum, welches auch von einem deutschen Rechenzentrumsanbieter betrieben wird. Siehe AWS, Frankfurt (Headquater: Seattle, USA). Patriot Act lässt grüßen.

Es sollte auch darauf geachtet werden, dass Rechenzentrum und Back-Up Rechenzentrum geografisch getrennt sind. Der Großbrand beim Webhoster OVH, zeigt wie wichtig die geografische Trennung ist.

Deutsches Hinweisgeberschutzgesetz konkretisiert die EU-Whistleblowing Richtlinie

Das Gesetz zum Schutz hinweisgebender Personen, Hinweisgeberschutzgesetz (HinSchG) soll die EU-Whistleblowing-Richtlinie umsetzen. Unternehmen sollten sich bereits jetzt mit der Einrichtung eines Hinweisgebersystems beschäftigen, um optimal auf die gesetzlichen Vorgaben vorbereitet zu sein.

Das deutsche Hinweisgeberschutzgesetz hat einen weit gefassten Anwendungsbereich. Das deutsche Gesetz deckt Rechtsverstöße, insbesondere gegen das gesamte Strafrecht und das Gesetz über Ordnungswidrigkeiten (OWiG) ab. Verstößt z.B. ein Unternehmen gegen den Datenschutz (DSG-VO), sollen hinweisgebenden Personen einen umfassenden Schutz erhalten. Im Falle, dass ein Hinweisgeber einen Betrug aufdeckt – wie den Cum-Ex-Skandal oder Wirecard – würde die Person nach der EU-Richtlinie nicht vor Repressalien geschützt werden. Diese Lücke schließt somit das deutsche Gesetz.

Hinweisgeber haben die Wahl – mehrstufiges Meldesystem

Hinweisgebern wird empfohlen, zunächst die internen Kanäle ihrer Organisation zu nutzen (Stufe 1), bevor sie auf externe, von den Behörden eingerichtete Kanäle zurückgreifen (Stufe 2) oder sich an die Öffentlichkeit wenden (Stufe 3).

Der Hinweisgeber kann sich, je nach Sachverhalt, direkt an Behörden wie etwa das Gesundheitsamt oder über die Presse an die Öffentlichkeit wenden. Einen Nachteil hat die Person hierdurch grundsätzlich nicht. Insbesondere kann dies der Fall sein, wenn der Hinweis besondere Relevanz für die Öffentlichkeit hat oder Eile geboten ist. 

Pflicht zur Einrichtung interner Hinweisgebersysteme

Unternehmen und Behörden ab 50 Mitarbeiter:innen werden verpflichtet, interne Hinweisgebersysteme einzurichten. Für Unternehmen und Behörden mit bis zu 249 Mitarbeiter:innen wird es voraussichtlich eine zweijährige Übergangsregelung geben, bis die Pflicht zur Einrichtung der internen Meldekanäle in Kraft tritt.

Anforderung an den internen Meldekanal

Das Unternehmen muss u.a. folgende Aspekte berücksichtigen:

• Uneingeschränkter Zugang zum Hinweisgebersystem.
• Betreuung durch eine unabhängige und qualifizierten Person.
• Wahrung der Vertraulichkeit. Anonymitätswahrung und Datenschutz.
• Revisionssicher und nachvollziehbare Sachverhaltsdokumentation.
• Eingangsbestätigung innerhalb von sieben Tagen.
• Rückmeldung innerhalb von drei Monaten zum Umgang mit dem Hinweis.

Was ist ein Hinweisgebersystem?

Hinweisgebersysteme dienen der Informationsgewinnung. Unternehmen setzen hierzu Fachabteilungen, etwa im Bereich Compliance, oder Ombudspersonen ein, um Mitarbeitern, Lieferanten und Kunden einen vertraulichen Kommunikationskanal zu bieten. Ein solches Hinweisgebersystem bietet einem Unternehmen die Chance, Sachverhalte aufzuklären, bevor diese an Ermittlungsbehörden oder die Presse kommuniziert werden. Unter Compliance ist hier die Einhaltung von internen und externen Regelungen und Gesetzen zu verstehen.

Schutz für Hinweisgeber durch die Beweislastumkehr

Hinweisgebende Personen sollen bei Vorliegen der entsprechenden Voraussetzungen umfangreich vor Repressalien wie beispielsweise Kündigung, Versagung einer Beförderung, geänderte Aufgabenübertragung, Disziplinarmaßnahmen, Diskriminierung oder Mobbing geschützt werden. Es gilt die Beweislastumkehr. Der Arbeitgeber muss belegen, dass eine der vorgenannten Maßnahme nicht auf die Abgabe eines relevanten Hinweises zurückzuführen ist.

Welche Personengruppen von Hinweisgebern gibt es?

Mitarbeiter

Regelhaft haben Mitarbeiter den tiefgehensten Einblick in die Vorgänge, Prozesse und Handlungen einer Organisation. So zählen die weltbekannten Whistleblower Daniel Ellsberg und Edward Snowden zu dieser Personengruppe. Die Hemmschwelle einen Hinweis zu geben ist bei dieser Personengruppe sehr hoch, da z.B. der eigene Arbeitsplatz auf dem Spiel stehen kann.

nahe stehende Personen von Mitarbeitern und Expartner(innen)

Das private Umfeld von Mitarbeitern erfährt zumeist viel über die Aktivitäten einer Organisation. Dies ist dadurch bedingt, dass „Geschichten“ von der Arbeit gerne mit den Lieben geteilt werden. Insbesondere werden hier auch Themen kommuniziert, die eine besondere Brisanz haben. Dies ist dadurch bedingt, dass solche Themen die Mitarbeiter auch nach der Arbeit noch beschäftigt.

Die Loyalität gegenüber den Partnern und Freunden ist in guten Zeit groß, sodass ein möglicher Mißstand nicht an die Öffentlichkeit getragen wird. Zerbricht eine Freundschaft oder Beziehung schwärzen die „getrennten“ Personen den Mitarbeiter meist an, um diesen eins aus zu wischen.

Kunden, Lieferanten und Dienstleister

Kunden, Lieferanten und externe Dienstleister einer Organisationen bekommen durch den Kontakt mit dieser meist interne Informationen zur Kenntnis. Aufgrund der Abhängigkeiten von der Organisation ergeben sich auch hier höhere Hemmschwellen einen Rechtsverstoß o.ä. zu melden. So war beispielsweise Lieferanten im Wilke Skandal 2019 bekannt, dass der Wurstwarenhersteller verderbliche Ware lagerte und mit frischer Ware verarbeitete. Die Geschäftsführung untersagte den Lieferanten diese Information preis zu geben.

Wettbewerber

Mitbewerber haben meist ein großes Interesse daran, die konkurrierende Organisation zu diskreditieren. Dementsprechend wird hier teils proaktiv versucht Informationen zu sammeln, die den Wettbewerber schaden können. Die Hemmschwelle ist entsprechend niedrig.

Staatliche Einrichtungen

Finanz- und Ermittlungsbehörden, Gesundheitsämter und andere Institutionen haben den staatlichen Auftrag Verstöße aufzudecken. Hier gibt es klare Vorgaben und Aufträge, sodass die Hemmschwelle regelmäßig nur eine Rolle spielt, wenn die betroffene Organisation einen politischen Einfluss hat oder in anderer Weise von besonderer Relevanz ist.

Jedermann und „Social Media“

Die Bevölkerung kann durch Zufall an Informationen gelangen. So kann beispielsweise ein Spaziergänger sehen, wie ein Unternehmen illegal Müll entsorgt. Die Hemmschwelle einen solchen Sachverhalt an eine Behörde zu melden ist dabei gering. Die sozialen Medien (Social Media) haben in diesem Zusammenhang einen nicht zu unterschätzenden Einfluss. So kann der eben genannte Spaziergänger auch sein Smartphone zücken und ein Foto von dem LKW (im Idealfall noch mit Aufschrift des betroffenen Unternehmens) machen, der illegal Müll entsorgt. Wenn das Foto entsprechend über soziale Medien geteilt wird, kann in kürzester Zeit ein Shitstorm über das Unternehmen hereinbrechen.

Presse

Die Presse wird nicht zu unrecht als „vierte Gewalt“ bezeichnet. Eigene Recherchen oder Wissen, welches auf Informanten beruht – ähnlich wie bei sozialen Medien – verbreitet sich schnell. Auch der investigative Journalismus hat hier eine große Bedeutung. Die Hemmschwelle ist auch hier äußerst gering, da Medien von Skandalen profitieren.

Rechtsverstöße können Ihre Organisation finanziell beeinträchtigen und erheblichen Schaden anrichten. Einige Statistiken werden Ihnen das Ausmaß der negativen Auswirkungen aufzeigen. Die EU-Kommission hat den Bereich des öffentlichen Beschaffungswesens geschätzt und ist zu dem Schluss gekommen, dass große Missbräuche öffentlicher Gelder, die zu Verlusten in Höhe von 5,8 oder 9,6 Milliarden Euro pro Jahr führen, auf den mangelnden Schutz von Hinweisgebern zurückzuführen sind.

Dennoch haben nur eine Handvoll EU-Mitgliedsstaaten umfassende Programme zum Schutz von Hinweisgebern eingerichtet.

Die neue EU-Richtlinie zum Schutz von Hinweisgebern verpflichtet Organisationen, sichere Meldewege bereitzustellen. Dieser Schritt zielt darauf ab, jeden Hinweis sicher und anonym zu machen sowie das Vertrauen der Mitarbeiter zu stärken, Fehlverhalten zu melden.

Es gibt einen Weg, wie Sie eine gesunde Atmosphäre aufrechterhalten und Verstöße im arbeitsbezogenen Kontext überwachen können. Wenn Sie einen zuverlässigen Schutzmechanismus für Hinweisgeber einsetzen, ermöglichen Sie es Ihren Mitarbeitern, Probleme zu melden, ohne sich Gedanken über die Offenlegung ihrer Identität machen zu müssen. Erstklassige Software auf diesem Gebiet kann Ihr bester Helfer werden.

Wir haben die Kernaspekte der neuen Verordnung und Tipps zusammengetragen, um Ihnen bei der Anschaffung einer sicheren Lösung zu helfen. Lesen Sie weiter und erfahren Sie mehr über einen einfachen Weg für Ihre Organisation, die Vorschriften einzuhalten und die Arbeitsumgebung zu verbessern.

Die EU-Whistleblowing Richtlinie auf den Punkt gebracht

Die Idee einer neuen Regelung ergibt sich aus der akuten Notwendigkeit, das Wohlergehen der Wertegemeinschaft zu erhalten. Whistleblowing-Praktiken tragen dazu bei, die verheerenden Auswirkungen von Verstößen auf die EU-Politik zu verringern.

Bereits 2016 erlaubte der fehlende Schutz vor Whistleblowing dem Autohersteller Volkswagen, mit Diesel-Emissionen zu betrügen. Das Unternehmen plante, Konkurrenten auszustechen und einen revolutionären Ansatz zur Emissionsreduzierung zu verfolgen. Aber als sich ihre Absichten als unmöglich erwiesen, gaben sie nicht auf und installierten Software, die Testergebnisse fälschte. Rechtzeitiges Whistleblowing hätte den Ausbruch des Skandals verhindern können, aber es entwickelte sich zu einem Kostenaufwand von 14,7 Milliarden Dollar, um den Ruf wiederherzustellen.

Whistleblowing spielte auch eine entscheidende Rolle im Fall des Sammelns und Ausnutzens persönlicher Daten von Facebook-Nutzern, um das Publikumsverhalten zu beeinflussen. Es war schwer, den Missbrauch der Technologie zu verbergen, als Cambridge Analytica 87 Millionen persönliche Daten von Benutzern missbrauchte. Infolgedessen sah sich die Netzwerkplattform mit Misstrauen konfrontiert und musste den Ansatz zur Datensicherheit überprüfen. Und die Strafe war eine Geldstrafe von 5 Milliarden Dollar, die Facebook half, den Skandal beizulegen.

Zahlreiche ähnliche Fälle veranlassten die EU-Gesetzgeber, neue Sicherheits- und Anonymitätsstandards zu entwickeln. Sie waren sich einig, dass jede Organisation, vom Mittelstand bis hin zu Unternehmen, Whistleblowing-Lösungen implementieren oder bestehende überarbeiten muss, um die Einhaltung dieser Standards zu gewährleisten. Der 17. Dezember 2021 ist die Frist, um sich vorzubereiten und die Mindestanforderungen zu erfüllen – beeilen Sie sich! Konzentrieren wir uns auf die folgenden Schlüsselaspekte und prüfen wir den Stand der Vorbereitungen Ihrer Organisation.

1. Umfang der Organisation. Wenn Sie mehr als 50 Mitarbeiter haben oder der Umsatz Ihrer Organisation mehr als 10 Millionen Euro beträgt, müssen Sie für einen verschlüsselten Meldekanal sorgen. Auch Organisationen mit 50-250 Mitarbeitern können gemeinsame Berichtskanäle nutzen.
2. Kanal für die Berichterstattung. Es kann für Sie von Vorteil sein, eine Lösung eines Drittanbieters einzusetzen, die garantiert dem Standard entspricht. Sie müssen eine sichere 24/7-Hotline für mündliche und schriftliche Meldung von Missständen einrichten. Das System sollte die Identität Ihrer Hinweisgeber vertraulich behandeln.
3. Datenschutz & Speicherung. Die Lösung, die Sie erwerben, sollte Datenaustausch- und Speichermöglichkeiten bieten, die der DSGVO entsprechen. Die Daten können auf Anfrage als Beweismittel dienen.
4. Bearbeitung der Meldungen. Sie müssen eine Person bestimmen, die sich um alle eingehende Hinweise kümmert. Es kann jemand aus Ihrer Personalabteilung, Ihrer Finanzabteilung, ein Vorstandsmitglied oder ein ausgelagerter Spezialist sein, der außerhalb Ihrer Organisation arbeitet.
5. Bearbeitungszeit. Ihre Hinweisgeber sollten innerhalb einer Woche über einen eingegangenen Bericht benachrichtigt werden. Innerhalb der nächsten drei Monate sollten sie sich mit den Maßnahmen vertraut machen, die zur Lösung des Problems ergriffen wurden.
6. Transparenz. Stellen Sie sicher, dass Ihre Organisation Informationen über das Funktionieren des Meldekanals und die Bearbeitung von Hinweisen bereitstellen kann.

Wenn Ihre Organisation die Frist versäumt, die Berichterstattungsstandards nicht einhält oder weiterhin Repressalien gegen Informanten duldet, können Geldbußen folgen. Und so etwas wünschen Sie natürlich nicht. Daher benötigen Sie möglicherweise professionelle Beratung zu Whistleblowing-Lösungen oder Standardsoftware, um sich vorzubereiten.

Wie Ihre Hinweisgeber berichten und dennoch geschützt werden können

Wir raten Ihnen, jetzt zu handeln. Organisationen in der gesamten EU richten die Software proaktiv ein, um Hinweisgeber vor Repressalien zu schützen und den Ruf- oder finanziellen Schaden zu mildern.

Ihr erster Schritt ist die Entscheidung für einen vertrauenswürdigen Anbieter von Whistleblowing-Software. Probieren Sie iwhistle® aus, das zu Ihrer idealen, hochsicheren Melde-Lösung werden kann.

Handeln Sie darüber hinaus entsprechend den Besonderheiten der Nische, in der Sie Ihr Geschäft betreiben, und fragen Sie den Anbieter nach Software-Optionen, die Ihren Bedürfnissen entsprechen. Stellen Sie sicher, dass die Software über die erforderlichen Sicherheitszertifikate verfügt, damit Sie den Schutz der persönlichen Daten und der Identität der Hinweisgeber gewährleisten können.

Prüfen Sie, ob der gewählte Anbieter Sie bei der Software-Implementierung und -anpassung gemäß Ihren internen und externen Berichterstattungsanforderungen unterstützen kann. Seien Sie sicher, iwhistle® kann Ihnen in jeder Hinsicht helfen.

Wenn Sie sich für die Implementierung einer professionellen Whistleblowing-Software entscheiden, bleiben Sie auf der sicheren Seite. Mit einer Software, die vollständig dem neuen EU-Standard entspricht, können Sie Bußgelder für die Nichteinhaltung von Vorschriften, unkontrollierte Verstöße, die Offenlegung Ihrer Hinweisgeber oder Vergeltungsmaßnahmen innerhalb Ihrer Organisation vergessen. iwhistle® kümmert sich um Whistleblowing-Fälle, damit Sie Verstöße aufdecken und Ihr Unternehmen vor Skandalen schützen können.

Zu Hinweisgebersystemen zählen u.a. Telefonhotlines, Ombudspersonen, web-basierte Systeme sowie kombinierte Mechanismen zur sicheren Kommunikation von Missständen und Unregelmäßigkeiten. Unterschiede liegen in der zeitlichen und örtlichen Erreichbarkeit der Kommunikationsplattform, in der sicheren Anonymitätswahrung des Hinweisgebers und damit in der Hemmschwelle, in der Konzentration auf bestimmte Delikte, im Vermeiden von Denunziantentum und in der Dialogmöglichkeit, um einen Fall aufzuklären.

Ziel dieser Systeme ist – neben der frühzeitigen Aufdeckung – die Prävention interner Missstände und Risiken.

Die Bedeutung eines Hinweisgebersystems für ein Unternehmen

Gesetze, Regeln und interne Vorgaben einzuhalten hat für Unternehmen eine hohe Priorität. Denn nur wenn Regeln und Normen eingehalten werden, können diese Schaden von ihrem Unternehmen, ihren Mitarbeitern und Geschäftspartnern abwenden. Fehlverhalten muss daher frühzeitig erkannt, aufgearbeitet und unverzüglich abgestellt werden.

Dafür bedarf es der Aufmerksamkeit aller sowie die Bereitschaft, bei konkreten Anhaltspunkten auf mögliche schwere Regelverstöße hinzuweisen. Auch auf entsprechende Hinweise von Geschäftspartnern, Kunden und anderen Dritten legen Unternehmen Wert.

Bedeutung des Hinweisgebersystems

Das Hinweisgebersystem ist für Hinweise auf schwere Regel- und Rechtsverstöße zuständig. Darunter werden Verstöße verstanden, die insbesondere reputationsmäßige oder finanzielle Interessen des Unternehmens in schwerwiegender Weise beeinträchtigen.

Das Hinweisgebersystem ist ein wichtiges Element guter Unternehmensführung. Im Rahmen eines fairen und transparenten Verfahrens schützt das Hinweisgebersystem das Unternehmen, die Betroffenen und die Hinweisgeber. Einheitliche und schnellere Prozesse, eine vertrauliche und professionelle Bearbeitung von Hinweisen durch interne Experten bilden das Fundament des Systems.

Hackern und Datendiebe lassen sich vom Standort eines Servers – und den dafür geltenden Datenschutzbestimmungen – nicht beeindrucken. Jedoch stellen auch staatliche Organisationen eine mögliche Gefahr für unsere Daten dar.

Zugriff durch staatliche Organisationen

Die NSA und die mit ihr kooperierenden Geheimdienste, wie zum Beispiel der britische GCHQ, haben ein sehr großes Bedürfnis und Interesse daran Daten zu sammeln und auszuwerten. Seit den Terroranschlägen vom 11. September haben staatliche Organisationen in den USA – durch Verabschiedung des Patriot Acts – einen Freifahrtschein für Durchsuchungen sowie Datensammlungen und -auswertungen. Diese Tatsache ist ein wesentlicher Grund den Serverstandort nicht in den USA zu wählen. Folglich sind Cloud-Lösungen wie Google Drive, OneDrive von Microsoft und Dropbox sowie natürlich auch die iCloud von Apple nicht zu empfehlen.

In 2015 hat der EuGH festgestellt, dass personenbezogene Daten von europäischen Bürgern in den USA nicht ausreichen vor staatlichen Zugriff geschützt sind und das Safe Harbor Abkommen mit den USA für ungültig erklärt. Das kurz vor dem US-Wahlkampf 2016 ausgehandelte „EU-US Privacy Shield“ wurde vom europäischen Gerichtshof ebenfalls für ungültig erklärt.

Ein weiterer Grund ist, dass in den USA immer noch sehr schwache Datenschutzbestimmungen gelten. So können Nutzerdaten von den US-Unternehmen umfassend verwertet und ausgewertet werden. Facebook (Instagram, WhatsApp), Microsoft, Apple und Google (gmail, Android,….) lassen grüßen.

Serverstandort Deutschland

Wer die NSA und andere US-Sicherheitsbehörden – zumindest einigermaßen – von seinen Daten fernhalten möchte, sollte seine Dateien bei einem deutschen Unternehmen hosten, dessen Server in Deutschland stehen und somit den deutschen Datenschutzbestimmungen unterliegen. Jedoch sollten auch hier alle Dateien und Systeme vor dem Hosting verschlüsselt werden. Dies ist darin begründet, dass auch deutsche Behörden auf Daten zugreifen, wenn ein richterlicher Beschluss vorliegt oder der Bundesnachrichtendienst (BND) aufgrund seiner gestärkten Cyberspionage Aktivitäten auf Ihre Daten zugreift. Zudem kann nicht ausgeschlossen werden, dass die NSA sich hier nicht auch Zugriff verschafft. Des Weiteren können auch in Deutschland stehende Server gehackt werden.

Mit der Wahl eines in Deutschland stehenden Servers reduzieren Sie grundsätzlich das Risiko, das fremde Organisationen Ihre Daten durchsuchen, kopieren, clustern, usw. Eine absolute Sicherheit haben Sie damit aber auch hier nicht.

US-Unternehmen mit optionalem Serverstandort in Deutschland

Amazon wirbt bei seinem Amazon Web Services (AWS) damit, auch ein Rechenzentrum in Frankfurt am Main zu betreiben, welches entsprechend der DSGVO entspricht. Betrachtet man allerdings die Nutzungsbedingungen ist der Sitz in von AWS in Seattle (Staat Washington / USA). Folglich befinden wir uns wieder im Rechtsgebiet der USA und das Unternehmen (sowie deren deutsches Rechenzentrum) unterliegen dem Patriot Act.

Kununu ist – mit über 950.000 registrierten Unternehmen und über 4,3 Millionen abgegebenen Bewertungen – das größte und bekannteste Bewertungsportal für Arbeitgeber im deutschsprachigen Raum (Quelle: kununu.com, Stand: August 2020).

Die Bedeutung von Bewertungen für Bewerber & Co.

Bei der Entscheidungsfindung – für ein Unternehmen – haben Bewertungen einen bedeutenden und zunehmenden Einfluss. Dieses Vertrauens bzw. Transparenz-Prinzip hat sich bereits schon lange bei Kaufentscheidungen von Konsumenten bewährt. Denn Kundenbewertungen sind ausschlaggebend für Kaufentscheidungen. Deshalb ist es das Ziel eines Unternehmens möglichst viele positive Bewertungen zu erhalten. Denn es geht um den „guten Ruf“.

Das Prinzip von Arbeitgeber-Bewertungsportalen

Über Bewertungsportale wird regelmäßig mit Arbeitgebern abgerechnet. Die unzensierte Arbeitgeber-Bewertung im Internet sorgt für Verunsicherung bei Führungskräften und Personalabteilungen. Was Sie tun können, wenn Sie eine negative Bewertung – auf einem Arbeitgeber-Bewertungsportal – erhalten, erfahren Sie hier.

Wer kennt es nicht – hin und wieder googelt man seinen eigenen Namen oder den des eigenen Unternehmens. Plötzlich die Überraschung: Sie stoßen auf negative Bewertungen Ihrer Firma. Kommentare wie „Von diesem Arbeitgeber ist abzuraten!“, „Wenig Lohn, viel Arbeit!“ oder „Verbesserungsvorschlag: neue Führungsriege!“ sind auf kununu.com Alltag.

Das Kununu.com Bewertungssystem

Bei kununu können Bewerber, Mitarbeiter und ehemalige Angestellte Unternehmen anonym bewerten. Um eine Bewertung anonym abzugeben, braucht man lediglich eine E-Mail Adresse. Darüber hinaus besteht die Möglichkeit, ein Profil anzulegen, um sich auch an Diskussionen der kununu-Mitglieder beteiligen zu können. Die erstellten Beiträge sind für jeden einsehbar.

Über das Feld „Arbeitgeber bewerten“ kommt man auf das Meldeformular. Hier findet die Bewertung anhand verschiedener Kriterien statt. Dazu gehört – neben der Auswahl des Arbeitgebers und seiner Position – zunächst die Kategorie Unternehmenskultur, die unter anderem die Punkte Arbeitsatmosphäre, Kommunikation, Kollegenzusammenhalt und das Vorgesetztenverhalten enthält. Die weitere Kategorie Vielfalt umfasst u.a. die Gleichberechtigung im Arbeitsumfeld und die Kategorie Arbeitsumgebung enthält beispielsweise die Arbeitsbedingungen. Außerdem kann unter der Kategorie Karriere dargestellt werden, wie z.B. das Gehalt und die Karriere- bzw. Weiterbildungsmöglichkeiten eingeschätzt werden.

Mit Hilfe einer Sternenskala, wobei fünf Sterne die beste Bewertung darstellen („sehr gut“), kann aufgezeigt werden, welche persönlichen Erfahrungen gemacht wurden und welche Einschätzungen darauf basierend getroffen werden können. Zudem besteht die Möglichkeit, in Freitextform, Verbesserungsvorschläge für den Arbeitgeber abzugeben sowie positive und negative Punkte zu beschreiben. Zum Schluss wird die Frage gestellt, ob der Arbeitgeber empfohlen werden kann und welche „Benefits“ den Mitarbeitern im Unternehmen angeboten werden. Mit der Angabe der Emailadresse und dem Absenden der Bewertung willigt man abschließend in die AGB von kununu.com ein, worin verschiedene Anforderungen an die Bewertungsformulierung ausgearbeitet sind.

Die abgegebene Arbeitgeber-Bewertung ist dann öffentlich für alle sichtbar.

Was tun bei einer negativen Arbeitgeber-Bewertung?

1. Recherche

Zunächst sollten Sie sich einen Überblick verschaffen:

• Wie viele Bewertungen gibt es bereits zu Ihrem Unternehmen?
• Wie viele der Kommentare sind negativ? Wie viele sind positiv?
• Gibt es Diskussionsforen die über Ihr Unternehmen diskutieren? Wenn ja, über welche Themen?

2. Wertung der Ergebnisse

• Sind die Vorwürfe begründet oder macht jemand einen – emotional geleiteten – Rundumschlag?
• Wie ist das Gesamtbild über Ihr Unternehmen?
• Betreffen die negativen Bewertungen mehrere Themengebiete?
• Worüber diskutieren Bewerber und (ehemalige) Mitarbeiter?

3. Maßnahmen definieren

• Reaktion, Prävention und Monitoring.

Welche Maßnahmen können Sie ergreifen:

• Kritik ernst nehmen, auch von ehemaligen Mitarbeitern.
• Verbesserungsvorschläge der Arbeitgeber-Bewertung annehmen
• Präventiv handeln, indem Sie die Mitarbeiterzufriedenheit regelmäßig überprüfen und einen Lob & Kritik Kanal bereitstellen.

Was Sie nicht tun sollten:

• Positive Bewertungen in Auftrag geben oder selbst verfassen (Astroturfing).
• Negative Bewertungen ignorieren oder als irrelevant abtun.
• In einer Stellungnahme persönlich und unprofessionell reagieren.

So verhindern Sie negative kununu Bewertungen

Reaktion

Reagieren Sie auf negative Bewertungen. Denn nichts ist schlimmer wie eine Aussage, die unkommentiert im Raum steht. Auch wenn es sich um einen Rundumschlag handelt, bleiben Sie sachlich. Sind die Punkte nicht greifbar oder sehr umfassend können Sie allgemein antworten, sodass Sie beispielsweise Führungsgrundsätze oder die Unternehmensphilosophie beschreiben.

Prävention

Sie sollten über konkrete Maßnahmen nachdenken:

• Fast alle Bewertungen fallen positiv ausfallen: Prävention
• Ein Teil der Bewertungen übt Kritik an Ihrem Unternehmen: Prävention, Reaktion
• Die Bewertungen sind äußerst negativ, teilweise diffamierend: Prävention, Reaktion, Aktion

Vorsicht ist besser als Nachsicht: Prävention

Interner Meldekanal

Bieten Sie den Mitarbeitern die Möglichkeit sich direkt an Sie zu wenden. Hierfür können anonyme Hinweisgeberkanäle („Lob & Kritik“) dienen. Mitarbeiter können so Kritik intern äußern, bevor sie dies nach außen tätigen oder gar kündigen und dann über ihren alten Arbeitgeber schimpfen.

Als Ansprechpartner für ein Hinweisgebersysteme eigenen sich regelhaft die fachlichen Ansprechparten im Unternehmen (z.B. Qualitätsmanagement, Personalentwicklung).

Mitarbeiterumfragen

Auch, wenn noch gar keine Kommentare vorhanden oder alle positiv sind: Überprüfen Sie regelmäßig das Betriebsklima. Zeigen Sie Ihren Mitarbeitern, dass Sie offen für konstruktive Kritik sind. Gehen Sie auf Verbesserungsvorschläge ein.

Beschäftigen Sie sich auch in guten Zeiten mit der Mitarbeiterzufriedenheit.

Gestalten Sie regelmäßig (z.B. alle 2 Jahre) interne Umfragen zur Mitarbeiterzufriedenheit. Sie können sich dabei an den kununu-Bewertungskategorien orientieren. Sollte Ihnen das zu aufwendig sein, können Sie z.B. eine Doodle-Umfrage erstellen und diese per E-Mail an Ihre Mitarbeiter schicken.

Überlegen Sie sich dabei im Vorfeld genau, welche Themen Sie ansprechen wollen und beschränken Sie sich auf Bereiche, in denen Sie auch tatsächlich die Möglichkeit haben, Verbesserungen zu bewirken.

Achten Sie auch darauf, Fragen möglichst präzise und geschlossen zu formulieren.

Anonymisieren Sie Ihre Umfrage, denn so erhalten Sie mit hoher Wahrscheinlichkeit auch ehrliche Antworten von Ihren Mitarbeitern.

Signalisieren Sie Ihren Mitarbeitern, dass Sie offen sind für ihr Feedback.

Richtig reagieren auf schlechte Bewertungen: Reaktion

Sollten bereits negative Bewertungen zu Ihrem Unternehmen existieren, so geraten Sie nicht in Panik. Als erster Schritt gilt: Nehmen Sie die Kritik ernst und seien Sie ehrlich zu sich: Enthalten die Äußerungen des unzufriedenen Mitarbeiters eventuell einen Funken Wahrheit?

Unternehmen haben die Möglichkeit, sich bei kununu.com kostenlos zu registrieren und zu den Bewertungen Stellung zu beziehen. Bleiben Sie dabei sachlich und versuchen Sie, aufklärend, ehrlich und respektvoll zu antworten.

Es gibt sie immer wieder Schwarze Schafe, die auf Arbeitgeber-Bewertungsportalen Dampf ablassen und Unwahrheiten verbreiten. Reagieren Sie auch auf diese Kommentare und stellen Sie die Dinge richtig. So rücken Sie das Bild für zukünftige Mitarbeiter wieder zurecht.

Eine typische Arbeitgeber-Bewertung auf kununu.com: In diesem Fall ist die Bewertung gut ausgefallen.

Sie haben auf die negativen Bewertungen reagiert – was nun?

Um weitere Negativbeurteilungen zu vermeiden, sollten Sie Präventivmaßnahmen ergreifen. Sorgen Sie z.B. für ein gutes Betriebsklima und zeigen Sie, dass Sie offen für Feedback sind.

Rufschädigung in der Arbeitgeber-Bewertung: Aktion

Sie haben unter den negativen Kommentaren Inhalte gefunden, die rufschädigend sind oder Betriebsgeheimnisse enthalten? In solchen Fällen ist es notwendig, sofort zu handeln. Veranlassen Sie die Löschung solcher bedenklichen Bewertungen durch kununu.com.

Was darf der Mitarbeiter über Sie sagen?

Das Internet ist keineswegs ein rechtsfreier Raum – Ihre Mitarbeiter dürfen also nicht völlig offen über Sie schreiben. Die folgenden Punkte helfen bei der Identifikation nicht rechtskonformer Kommentare:

• Namentliche Nennungen oder Hinweise, die die Identifikation einer Person ermöglichen – etwa Funktionsbezeichnungen – sind verboten (DSGVO).
• Betriebsinterna: Betriebliche Vorgänge, die die wirtschaftlichen Interessen Ihres Unternehmens bloßlegen, unterstehen der Geheimhaltungspflicht (GeschGehG)
• Fair Play: Rufschädigende Kommentare werden – entweder durch kununu selbst oder auf Ihre Anfrage hin – gelöscht.

Auch, wenn Sie die Löschung eines Kommentars veranlasst haben, sollten Sie die geäußerte Kritik noch ernst nehmen – wenn sie nicht Ausdruck eines persönlichen Rachefeldzuges war.

Der EuGH weist darauf hin, dass es für eine wirksame Einwilligung zur Verarbeitung personenbezogener Daten nicht ausreicht, wenn der Internetnutzer ein voreingestelltes Kästchen bestätigt (“Opt-Out”). Der Gerichtsentscheidung lag ein Vorabentscheidungsersuchen des BGH zugrunde, vor dem der Bundesverband der Verbraucherzentralen und die “Planet49 GmbH” darüber stritten, ob eine wirksame Einwilligung in die Erhebung von Webseiten-Cookies durch eine Opt-Out-Lösung möglich ist.

Die Entscheidung war durchaus zu erwarten. Seit Inkrafttreten der DSGVO im Mai 2018 besteht durchaus ein Konsens darüber, dass das TMG dahingehend ausgelegt werden muss, dass eine Einwilligung aktiv, durch z.B. Ankreuzen/-klicken, erfolgen muss und eine Opt-Out-Lösung nicht ausreicht.

Praxisrelevante Fragen bleiben offen:

• Braucht es für das Setzen eines Cookies zwingend eine Einwilligung?
• Wie können Einwilligungen nachgehalten und hinreichend dokumentiert werden?

In der EuGH Entscheidung ging es nicht um die Arten von eingesetzten Cookies. Im Fokus stand die Frage, welche Anforderungen an die Einwilligung zu stellen sind. Ob bei jedem Cookie-Einsatz eine Einwilligung vorliegen muss, ist für technische Sitzungscookies zu hinterfragen. Diese Cookies dienen dem technischen Aufbau der Seite und ermöglichen die Navigation des Nutzers auf der Webseite. Ein derartiger Cookie-Einsatz kann auf die berechtigten Interessen des Webseitenbetreibers gestützt werden (Art. EWG_DSGVO Artikel 6 Abs. EWG_DSGVO Artikel 6 Absatz 1 lit. f DSGVO).

Werden Einwilligungen eingeholt, so sind diese auch im Nachhinein nachzuweisen. Ob, wie und durch wen eingewilligt wurde, muss der Webseitenbetreiber in irgendeiner Form dokumentieren. Wie dies, insbesondere DSGVO-konform, zu leisten ist, beantwortet die DSGVO selbst nicht. Art. EWG_DSGVO Artikel 7 Abs. EWG_DSGVO Artikel 7 Absatz 1 DSGVO fordert lediglich den Nachweis der Einwilligung.

Für Webseitenbetreiber ist es empfehlenswert das EuGH-Urteil zum Anlass zu nehmen, ihre Internetpräsenz und insbesondere ihre Cookie-Bestätigung sowie die zugehörigen Datenschutzhinweise zu kontrollieren und ggf. nachzubessern. Sofern Einwilligungen der Nutzer für die Speicherung von Cookies eingeholt werden, müssen diese mittels einer Opt-In-Lösung (aktives bestätigen) eingeholt werden. In den Datenschutzerklärungen sollte außerdem über die Funktionsdauer der Cookies sowie über die Zugriffsmöglichkeiten Dritter informiert werden.

Von der EU-Richtlinie zum Schutz von Whistleblowern betroffene Rechtsgebiete

Die neuen Regeln der EU Whistleblower Richtlinie decken ein breites Spektrum an EU-Rechtsbereichen ab. Hierzu zählen:

• öffentliches Auftragswesen (Vergaberecht),
• Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung,
• Produktsicherheit und -konformität,
• Verkehrssicherheit,
• Umweltschutz,
• Strahlenschutz und kerntechnische Sicherheit,
• Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz,
• öffentliche Gesundheit,
• Verbraucherschutz,
• Schutz der Privatsphäre und personenbezogener Daten (DSGVO) sowie Sicherheit von Netz- und Informationssystemen.

Die wesentlichen Eckpunkte der EU-Richtlinie

Die Vorschriften der Richtlinie umfassen im Wesentlichen folgende Sachverhalte:Verpflichtung zur Einrichtung von internen Meldekanälen bei Unternehmen und öffentlichen Verwaltungen: Unternehmen ab 50 Beschäftigten und Gemeinden mit mehr als 10.000 Einwohnern werden verpflichtet, zuverlässig funktionierende Meldekanäle einzurichten.

Hierarchie von Meldekanälen: Hinweisgebern wird empfohlen, zunächst die internen Kanäle ihrer Organisation zu nutzen, bevor sie auf externe, von den Behörden eingerichtete Kanäle zurückgreifen oder sich an die Öffentlichkeit wenden. Der Hinweisgeber kann sich je nach Sachverhalt auch direkt an die Öffentlichkeit oder Behörden wenden. Einen Nachteil hat die Person hierdurch nicht. Insbesondere kann dies der Fall sein, wenn der Hinweis besondere Relevanz für die Öffentlichkeit hat oder Eile geboten ist.

Hinweisgeber, die durch die Richtlinie geschützt werden: Geschützt werden Personen mit den unterschiedlichsten “Profilen”, die Informationen über Rechtsverstöße im beruflichen Kontext erlangen könnten. Hierbei kann es sich beispielsweise um Angestellte und Beamte auf nationaler oder lokaler Ebene, Freiwillige und Praktikanten, Kunden und Lieferanten handeln.

ein breites Spektrum betroffener Rechtsgebiete: Die EU-Richtlinie gilt für Bereiche wie z.B. die öffentliche Auftragsvergabe, Finanzdienstleistungen, die Verhütung von Geldwäsche, das Gesundheitswesen und Datenschutz. Aus Gründen der Rechtssicherheit wurde der Richtlinie eine Liste mit allen erfassten EU-Rechtsinstrumenten angefügt. Die Mitgliedstaaten können bei der Umsetzung der Neuregelung über diese Liste hinausgehen.

Unterstützung und Schutzvorkehrungen für Hinweisgeber: Mit den neuen Vorschriften werden Schutzvorkehrungen eingeführt, um Hinweisgeber vor Repressalien zu schützen, z. B. davor, suspendiert, herabgestuft oder eingeschüchtert zu werden. Auch ihre Unterstützer, etwa Kollegen und Angehörige, werden geschützt. Die Richtlinie enthält auch eine Liste unterstützender Maßnahmen, zu denen Hinweisgeber Zugang haben müssen.

Rückmeldepflichten für Behörden und Unternehmen: Behörden und Unternehmen müssen innerhalb von drei Monaten auf Meldungen von Missständen reagieren, diese weiterverfolgen und dem Hinweisgeber entsprechend informieren (für externe Kanäle kann die Frist in ausreichend begründeten Fällen auf sechs Monate verlängert werden).