Obwohl ISO 37002 bereits vor einem Jahr erstmals veröffentlicht wurde, zieht die neue Norm erst jetzt vermehrtes Interesse auf sich. Und genau wie andere Standards scheint sie zunächst für Verwirrung zu sorgen. Auch wir haben zahlreiche Fragen von den verschiedensten Organisationen und Unternehmen erhalten: Wie können wir die ISO 37002 einhalten? Ist SpeakUp ISO 37002-konform? Können wir eine ISO 37002-Zertifizierung beantragen? In welchem Zusammenhang steht die ISO 37002 mit der EU-Hinweisgeberrichtlinie? Hier finden Sie alles, was Sie wissen müssen.
ISO 37002: Was ist das und worum geht es?
Die Norm ISO 37002 wurde erstmals im Juli 2021 veröffentlicht. Als Norm vom Typ B lässt sie im Gegensatz zu Typ-A-Normen, wie z. B. der ISO 27001, keinen Nachweis der Konformität zu. Mit anderen Worten: Eine Zertifizierung gemäß ISO 37002 ist nicht möglich.
Stattdessen sollte man die ISO 37002 als eine Reihe praktischer Leitlinien verstehen, die einer Organisation helfen können, das eigene Hinweisgebersystem (Whistleblowing Management System – WMS) zu verbessern. Diese Leitlinien gelten für Unternehmen und Organisationen aller Arten und Größen, unabhängig von der Art ihres Tätigkeitsfelds. Ziel der Norm ist es, Unterstützung für den gesamten Prozess der Implementierung eines Whistleblowing Systems zu bieten – von der Planung über die Umsetzung und Überprüfung bis hin zur Optimierung. Organisationen können die Norm ISO 37002 unabhängig implementieren oder sie in andere ISO-Normen integrieren, da sie der gleichen „harmonisierten Struktur“ folgt (Terminologie und Aufbau).
Gegenüberstellung: ISO 37002 und die EU-Hinweisgeberrichtlinie
Die EU-Whistleblower-Richtlinie bietet einen europäischen Rechtsrahmen für die Anforderungen, die sowohl für private als auch für öffentliche Organisationen beim Schutz von Hinweisgebern gelten. Sie geht auf Bereiche wie Vertraulichkeit, Datenschutz, Reaktionszeiten und die Personen zur Bearbeitung von Meldungen ein. Die ISO 37002 hingegen bietet Organisationen, die ein effektives und branchenführendes Whistleblowing Management System einführen möchten, eine Reihe praktischer Leitlinien zur Umsetzung dieses Rechtsrahmens.
Drei Grundprinzipien
Die ISO 37002 beruht auf drei Prinzipien: Vertrauen, Unparteilichkeit und Schutz. Diese Grundsätze sollten während des gesamten Whistleblowing-Prozesses berücksichtigt werden. Daher sollten Sie in erster Linie überlegen, ob Ihr aktuelles Hinweismanagementsystem und die damit verbundenen Maßnahmen diese drei Bereiche fördern. Und noch wichtiger: Wie können die Mitarbeitenden, die für den Umgang mit Hinweisgebern und die Bearbeitung von Meldungen verantwortlich sind, dazu beitragen, diese Grundsätze zu stärken?
Wie ISO 37002-konform ist Ihr aktuelles WMS?
Mit diesen vier Fragen können Sie sich eine erste Vorstellung davon verschaffen, wie gut Ihr aktuelles Hinweisgebersystem die Anforderungen der ISO 37002 erfüllt:
1. Beruht Ihr Hinweisgebersystem auf einer Verpflichtung zu Vertrauen, Unparteilichkeit und Schutz?
Stellen Sie sicher, dass die für den Umgang mit Whistleblowing-Fällen zuständigen Mitarbeitenden des Unternehmens vertrauenswürdig sind. Überprüfen Sie dazu zunächst Ihre Einstellungsprozesse. Ist eine Integritätsbeurteilung Teil Ihres Auswahlverfahrens? Stellen Sie zudem durch das Angebot angemessener Schulungen sicher, dass alle am Hinweisgebermanagement beteiligten Personen die Grundsätze von Vertrauen, Unparteilichkeit und Schutz wirksam umsetzen. Die Mitarbeitenden sollten auf aktives Feedback und eine effektive Kommunikation setzen, um das Vertrauen der Hinweisgeber zu gewinnen. Aus diesem Grund ist es entscheidend, mit einem Whistleblowing-Tool zu arbeiten, das einen echten Dialog ermöglicht, wie beispielsweise SpeakUp.
Denken Sie auch daran, die Sicherheit Ihrer Meldekanäle nicht zu vernachlässigen. Fragen Sie sich: Sind die Verfahren so sicher wie möglich? Fragen Sie Ihren Whistleblowing-Anbieter auch danach, wie er den Schutz der Daten und der Anonymität der Hinweisgeber gewährleistet. Prüfungsstandards wie ISAE3000 Typ II oder SOC2 können im Zusammenspiel mit anderen relevanten ISO-Normen (z. B. ISO 27001, 27002 und 27701) bei der Beurteilung helfen, wie fortschrittlich Ihr Anbieter in dieser Angelegenheit ist.
2. Werden Meldungen und unethisches Verhalten unparteiisch gehandhabt und untersucht?
Den größten Einfluss auf diesen Bereich haben natürlich diejenigen, die für die Handhabung von Meldungen verantwortlich sind. Treffen die verantwortlichen Personen objektive und faire Entscheidungen? Schaffen Sie bei Ihren internen Verfahren zur Fallbearbeitung geeignete Mechanismen, um potenzielle Interessenkonflikte angemessen zu adressieren. Natürlich sollten Sie eine voreingenommene Handhabung von Meldungen über Fehlverhalten um jeden Preis vermeiden. Weisen Sie Ihre Mitarbeitenden darauf hin, dass sämtliche Meldungen von Ihrem WMS auf die gleiche Weise verarbeitet werden – unabhängig von ihrer Position im Unternehmen. Sie sollten diese unparteiische und offene Haltung möglichst im gesamten Unternehmen demonstrieren und stärken. Dazu können Sie das Thema beispielsweise in Ihrem Verhaltenskodex oder in Ihrer Hinweisgeberrichtlinie verankern. Sie sollten auch geeignete Kampagnen zur Information und Sensibilisierung durchführen, um das Melden von Fehlverhalten zu fördern.
Schließlich können Sie sich für ein anonymes und externes Meldesystem wie SpeakUp entscheiden. So können Sie den Mitarbeitenden Ihre Unparteilichkeit auf praktische Weise vor Augen führen und das Vertrauen stärken. Unserer Erfahrung nach fühlen sich die Mitarbeitenden wohler dabei, ein externes Hinweisgebersystem zu nutzen, als auf interne Kanäle zurückzugreifen. Lösungen wie spezielle E-Mail-Adressen oder Vertrauenspersonen scheinen hier wenig effektiv zu sein. Das liegt einfach daran, dass sie für weniger vertraulich gehalten werden. Mitarbeitende sehen externe Anbieter dagegen als unparteiische Experten, die sich voll und ganz dafür einsetzen, ein sicheres und wirklich anonymes Meldesystem bereitzustellen.
3. Bieten Sie Whistleblowern ausreichend Unterstützung?
Überlegen Sie, welche Unterstützung Sie Hinweisgebern aktuell bereitstellen. Werden alle Beteiligten gleichermaßen berücksichtigt? Unterstützen Sie den Whistleblower, aber vernachlässigen Sie nicht die betroffene bzw. beschuldigte Person oder andere Beteiligte. Mit Unterstützung sind emotionale, finanzielle und rechtliche Unterstützung ebenso wie der Schutz des Rufes einer Person gemeint. Sie können die angebotene Unterstützung auch in Ihrem Verhaltenskodex und in Ihrer Hinweisgeberrichtlinie oder sogar in Ihrem Mitarbeiterhandbuch darlegen. Schließlich wollen Sie sicherstellen, dass sich Ihre Mitarbeitenden dabei wohlfühlen, Vorfälle zu melden, ohne Konsequenzen fürchten zu müssen.
4. Verfügen Sie über eine geeignete Kultur zur Meldung von Fehlverhalten?
Versuchen Sie, in allen Phasen Ihrer WMS-Implementierung eine offene Kultur zur Meldung von Fehlerverhalten in Ihrer Organisation zu schaffen. Wie trägt das Top-Management mit seinem Verhalten dazu bei, diese Kultur zu fördern? Die Schaffung, aber auch die Aufrechterhaltung einer solchen Kultur liegt in der Verantwortung der Geschäftsführung. Darüber hinaus müssen Führungskräfte unbedingt mit gutem Beispiel vorangehen und sich umfassend für die Nutzung des Hinweisgebersystems einsetzen. Sie könnten beispielsweise das Management bitten, Schulungen, Richtlinien und andere Sensibilisierungskampagnen zur Meldung von Fehlverhalten zu unterstützen. In der Zwischenzeit sollten Sie sicherstellen, dass Sie Whistleblowing öffentlich unterstützen. Gehen Sie jedoch mit Bedacht vor. Ernennen Sie etwa geeignete Teammitglieder zu „SpeakUp-Botschaftern“. Diese könnten das Melden von Fehlverhalten fördern, indem sie Fragen beantworten oder erläutern, wie Ihr SpeakUp-Kanal funktioniert. Alles in allem sollten Sie immer darauf achten, niemanden durch Offenlegung seiner Identität Risiken auszusetzen.
Ihre nächsten Schritte
Wie Sie sehen, kommt es bei der Erfüllung der Anforderungen von ISO 37002 auf Teamarbeit an. Sie benötigen die richtigen Werkzeuge, begleitet von den richtigen Richtlinien. Und sie benötigen geeignetes Personal, um diese zu handhaben und umzusetzen. Speakup ist ein nützliches Tool, das Ihnen dabei helfen kann, Ihr Hinweisgebersystem mit der ISO 37002 in Einklang zu bringen.
Sind Sie bereit für den ersten Schritt? Wir unterstützen Sie bei der schnellen und reibungslosen Implementierung von SpeakUp, unserer ganzheitlichen Plattform für Whistleblowing- und Fallmanagement. Kontaktieren Sie uns noch heute für weitere Informationen.
Hinweis: Dieser Blog gilt nicht als offizieller Leitfaden für die Erfüllung der Anforderungen der Norm ISO 37002. Weitere Informationen finden Sie auf der offiziellen Website der ISO, wo Sie auch die offizielle Version der Norm einsehen können.
