(Security-)Hinweisgeber: Whistleblower befähigen!

Foto: Sudowoodo – shutterstock.com

Im August 2022 reichte Peiter Zatko, ehemals Head of Security bei Twitter, eine 84-seitige Beschwerde bei der US-Börsenaufsicht SEC ein. Darin legte der Whistleblower nahe, das Unternehmen habe die Öffentlichkeit in Bezug auf Spam und Bots in die Irre geführt, weise ein generell niedriges Sicherheitsniveau auf und halte seinem Vorstand wichtige Infomationen über Sicherheitsverletzungen vor. Zatko fühlte sich angesichts der Versäumnisse bei Twitter moralisch dazu verpflichtet, mit den Verfehlungen an die Öffentlichkeit zu gehen, wie er im Interview mit der Washington Post sagte.

Viele (potenzielle) Security-Hinweisgeber stehen vor einem ähnlichen Dilemma: Sie versuchen in der Regel zunächst, ihre Bedenken intern anzubringen und wenden sich erst dann an externe Stellen, wenn sie das Gefühl haben, nicht gehört zu werden. Dabei sollte jedem, der sich dazu entschließt, klar sein, dass mit ernsthaften Konsequenzen zu rechnen ist, wie Dana Gold, Senior Counsel bei der Non-Profit-Organisation Government Accountability Project, unterstreicht: “Mitarbeiter, die sich melden, haben Angst – in erster Linie vor Vergeltungsaktionen und davor, dass am Ende alles umsonst ist. Starke Gesetze zum Schutz von Whistleblowern und Wege zur Offenlegung von Informationen sind für eine verantwortungsvolle private und öffentliche Governance unverzichtbar. Wir brauchen Whistleblower. Sie sind die beste – und manchmal auch einzig verfügbare – Verteidigung gegen kritische Bedrohungen.”

Heterogener Whistleblower-Schutz

Weltweit hat sich in den letzten Jahren einiges getan, wenn es um den gesetzlichen Schutz von Hinweisgebern geht. Speziell mit Blick auf die Vereinigten Staaten sieht Gold aber erheblichen Nachholbedarf: “Der US-Kongress war bislang vor allem langsam und unfähig, den Technologiesektor zu regulieren. Trotz zahlreicher Anhörungen sind die Beschäftigten in dieser Branche weiterhin schutzlos, weil es keinen eigenständigen Schutz für Whistleblower gibt.”

In den USA gibt es bislang kein Gesetz auf Bundesebene, das explizit den Umgang mit beziehungsweise Schutz von Whistleblowern regelt. Lediglich einzelne Gesetze, die individuelle Rechtsverstöße in Unternehmen betreffen, können möglicherweise in diesen Fällen Anwendung finden. Darunter beispielsweise der False Claims Act (schützt Mitarbeiter, die Betrugsfälle innerhalb der Regierung aufdecken) oder der Dodd-Frank-Act (schützt Mitarbeiter, die Wertpapierbetrug bei der Börsenaufsicht anzeigen).

Die Europäische Union hat ihre Mitgliedsstaaten bereits Ende 2019 im Rahmen ihrer Whistleblower-Richtlinie (EU 2019/1937) dazu verpflichtet, bis Ende 2021 entsprechende Gesetze zum Schutz von Hinweisgebern umzusetzen.

Deutschland hat das im Juli 2023 nachgeholt – seitdem ist das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Dieses verpflichtet Unternehmen dazu, eine interne Meldestelle beziehungsweise ein Hinweisgebersystem einzurichten, das Whistleblower dabei unterstützt, Missstände in einem sicheren Umfeld zu melden. Den Hinweisgebern kommen dabei diverse Rechte und Pflichten zu – unter anderem ist aber auch ein Schutz vor arbeitsrechtlichen Repressalien vorgesehen (beispielsweise Diskriminierung, negative Leistungsbeurteilung, Abmahnung, Kündigung oder Versetzung).

Alle Einzelheiten zum Hinweisgeberschutzgesetz und dazu, wie Unternehmen das am besten umsetzen, lesen Sie hier.

Eine Kultur für Hinweisgeber

Der Fortschritt auf juristischer Seite ist das eine – die Unternehmenspraxis das andere. Denn hier muss sich die Kultur vielerorts noch an die gesetzlichen Rahmenbedingungen anpassen. Whistleblower in Unternehmen müssen oft mindestens fürchten, als “Unruhestifter” oder “problematisch” abgestempelt zu werden. An dieser Stelle sind die Unternehmen gefragt, sich intern ernsthaft mit Hinweisgebern zu befassen und ein positives, unterstützendes Umfeld zu schaffen. Dabei sollten Mitarbeiter insbesondere die Gewissheit haben können, dass ihre Identität auf Wunsch während des internen Meldeprozesses vertraulich behandelt wird, wie Kolja Weber, CEO beim Secure-Webhosting-Anbieter FlokiNET, unterstreicht: “Unternehmen sollten alles daran setzen, die Identität von Hinweisgebern zu schützen. Anonymität ist der beste Weg, um sicherzustellen, dass Whistleblower sich sicher und ermutigt fühlen, auf Missstände hinzuweisen.”

Ein System, das eine Vielzahl von Möglichkeiten zur anonymen Meldung von Missständen bietet, gibt den Mitarbeitern dabei die nötige Flexibilität – und kann die Wahrscheinlichkeit erhöhen, dass sie sich trauen, ihre Beobachtungen mitzuteilen. Regelmäßige Schulungen zum Thema können ebenfalls zuträglich sein – speziell wenn es um Whistleblower im Security-Bereich geht, deren Beiträge besonders wertvoll sein können, um rechtlichen Konsequenzen beziehungswiese Strafzahlungen entgegenzuwirken. Darüber hinaus ist auch die Unternehmensleitung gefragt, wenn es um “zwischenmenschliche” Vergeltungsmaßnahmen oder Repressalien geht – eine Null-Toleranz-Politik ist in diesem Fall angebracht (schließlich drohen auch hierbei rechtliche Konsequenzen).

Renee Guttmann, Gründerin der Security-Beratung Cisohive und ehemalige IT-Sicherheitsentscheiderin bei Coca-Cola und Time Warner, empfiehlt Unternehmen, einen spziellen Prozess aufzusetzen. Dieser soll es ermöglichen, Probleme an Geschäftsleitung oder Vorstand zu eskalieren, wenn der Eindruck entsteht, dass Probleme in der Befehlskette nicht angemessen behandelt werden: “Die Mitarbeiter sollten bei jedem Schritt die Gewissheit haben, dass das von ihnen gemeldete Problem gründlich untersucht wird und dafür ausreichend Ressourcen bereitgestellt werden. Der gesamte Prozess sollte transparent sein, wobei sowohl die Person, die das Problem gemeldet hat, als auch die Organisation über die Fortschritte informiert werden”, erklärt die Security-Expertin.

Nach Ansicht von Delphine Halgand-Mishra, Gründungsdirektorin der Non-Profit-Organisation The Signals Network, erkennen die Unternehmen langsam, aber sicher die Notwendigkeit, interne Whistleblower besser zu schützen und zu schätzen zu wissen: “Es ist ein langwieriger Prozess, aber ich glaube, Unternehmen werden Mitarbeiter, die Missstände gemeldet haben, künftig nicht mehr stigmatisieren.”

Dennoch ist Halgand-Mishra davon überzeugt, dass sowohl Regierungen als auch Unternehmen noch mehr tun können und sollten, um Hinweisgeber zu schützen und eine offene (Fehler-)Kultur zu fördern. “Whistleblower sollten von der Gesellschaft umarmt und gefeiert werden”, konstatiert die Expertin. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.