chingyunsong / AdobeStock
27. Juli 2021
EU-Whistleblower-Richtlinie

Ende Oktober 2019 hat die EU die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ verabschiedet.

Die Richtlinie sieht einheitliche Standards zum Schutz der sog. „Whistleblower“ vor und muss bis zum 17.Dezember 2021 in nationales Recht der EU-Mitgliedstaaten umgesetzt worden sein.

Für den effektiven Schutz der Hinweisgeber verfolgt die Richtlinie zwei Hauptziele:

Zum einen sollen Hinweisgeber klar definierte Möglichkeiten zur primär internen oder sekundär externen Meldung von Missständen haben, und zum anderen sollen die hinweisgebenden Personen effektiv vor möglichen Repressalien geschützt werden.

Interne und externe Meldewege

Alle Unternehmen mit mehr als 50 Mitarbeitenden werden dazu verpflichtet, Vorrichtungen und Systeme in den Betrieb zu implementieren, die interne und externe Meldewege für Hinweisgeber sicherstellen.

Hinweisgebern soll die Möglichkeit gegeben werden, Meldungen entweder mündlich oder in Textform abzugeben. Insbesondere müssen die Meldungen so abzugeben sein, dass die Identität des Hinweisgebers nicht aufgedeckt wird und darüber hinaus der nationalen Datenschutzgesetzgebung entspricht. Unternehmen mit mehreren Niederlassungen müssen zu diesem Zwecke auf eine orts- und uhrzeitunabhängige Hinweisgabe achten. Gleichzeitig dürfen weder Dritte noch die Anbieter Zugriff auf sensible Daten haben.

Unternehmen haben im Fall einer Meldung innerhalb von sieben Tagen den Eingang der Meldung gegenüber dem Whistleblower zu bestätigen und spätesten innerhalb von drei Monaten nach der Meldung darüber zu informieren, wie mit dem Hinweis umgegangen wurde und welche Folgemaßnahmen das Unternehmen ergriffen hat.

Schriftliche Hinweise können konkret über geeignete Meldekanäle wie

ein Onlinesystem,
einen Briefkasten,
den Postweg
oder mündlich per „Whistleblower-Hotline“ oder eine Voice-Box eingereicht werden.

Ein digitales Onlinesystem eignet sich sowohl für kleine als auch für große Unternehmen aus mehreren Gründen am besten.

Bei dem elektronischen Meldekanal handelt es sich um eine Software, die entweder in das firmeneigene Intranet implementiert oder als Internetseite aufgerufen werden kann. Viele der erprobten Onlinesysteme zeichnen sich durch eine intuitive und einfache Usability aus, um Hinweisgebern etwaige Hemmungen zu nehmen. Meldungen können zu jeder Uhrzeit und von jedem Ort aus abgegeben werden. Sämtliche Daten des Hinweisgebers werden dabei verschlüsselt und anonymisiert, sodass eine Rückverfolgung nicht möglich ist. Die Hinweise selbst werden automatisiert dokumentiert und so verwaltet, dass eine vertrauliche Fallbearbeitung durch die Compliance-Beauftragten möglich ist. Ferner bieten viele Systeme die Möglichkeit, für Nachfragen und weitere Ergänzungen über eine Art Ticketsystem Kontakt zum Hinweisgeber aufzunehmen unter steter Gewährleistung seiner Anonymität. Über Zusatztools kann unternehmensintern eine Auswertung der Meldung erfolgen, um Statistiken oder eine Risikobewertung zu entwickeln.

In jedem Fall ist bei der Umsetzung des Hinweisgebersystems darauf zu achten, dass für die Bearbeitung der Hinweise speziell geschultes Personal eingesetzt wird. Innerhalb eines Unternehmens kommen dafür der Compliance Officer, der Legal Counsel, ein Unternehmensjurist, der Finanzdirektor oder ein Mitglied des Vorstands bzw. der Geschäftsführung in Betracht.

Geeigneter dürften in der Praxis indes externe Personen, beispielsweise Berufsgeheimnisträger wie Rechtsanwälte oder Steuerberater, sein. Statistiken zeigen, dass Hinweisgeber solche Dritten eher mit den Attributen unparteiisch, integer und diskret verbinden.

Breiter Anwendungsbereich

Geschützt werden nicht nur Mitarbeiter, die Missstände melden, sondern auch Bewerber, ehemalige Mitarbeiter, Praktikanten und sogar auch Verwandte oder sonstige Dritte, die mit dem Hinweisgeber in Kontakt stehen und berufliche Repressalien aufgrund eines Hinweises erleiden könnten.

Der Schutz beschränkt sich dabei auf das Melden von Missständen mit Bezug zum EU-Recht, wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.

Den Mitgliedstaaten ist aber explizit anheimgestellt, den Anwendungsbereich im Rahmen der nationalen Umsetzung zu erweitern.

Schutzmaßnahmen

Der Schutz der Whistleblower wird vorrangig durch das Verbot von Repressalien gewährleistet. So ist unter anderem die Suspendierung, Entlassung, Herabstufung, Versagung einer Beförderung oder sonstige Diskriminierung verboten, sofern diese Maßnahme auf den Hinweis des Whistleblowers zurückzuführen ist.

Verstärkt wird dieses Verbot durch eine Beweislastumkehr zulasten der Unternehmen. Demzufolge muss nicht mehr der Whistleblower beweisen, dass eine arbeitsrechtliche Maßnahme aufgrund des Whistleblowings erfolgt ist (wie dies bislang im deutschen Recht der Fall ist), sondern das von der Meldung betroffene Unternehmen muss beweisen, dass es sich gerade nicht um eine unzulässige Einschränkung im Sinne der Richtlinie handelt.

Sanktionen

Unternehmen und Organisationen, die gegen die Richtlinie verstoßen, haben mit Sanktionen in Form von empfindlichen Strafzahlungen zu rechnen. Denkbare Verstöße sind etwa die Missachtung der Pflicht zur Implementierung eines Whistleblowing-Systems, die Behinderung von Meldungen, die Nicht-Einhaltung der Anonymität betreffender Personen oder deren Einschüchterung sowie das Verhängen von Repressalien.

Stand der nationalen Umsetzung in Deutschland

Bisher ist keine gesetzliche Regelung zur Umsetzung der EU-Hinweisgeberrichtlinie in Deutschland beschlossen worden. Das BMJV hat zwar einen Gesetzentwurf vorgelegt, dieser hat es jedoch noch nicht in das Parlament geschafft. Streitpunkt innerhalb der Bundesregierung ist die Frage, ob Whistleblower nur geschützt werden sollen, wenn die Verstöße EU-Recht betreffen oder auch deutsches Recht verletzen.

Wie und wann das nationale Whistleblower-Gesetz kommt, ist noch nicht absehbar. Es bleibt allerdings dabei, dass der Stichtag zur Umsetzung der EU-Hinweisgeberrichtlinien in nationales Recht der 17. Dezember 2021 ist.

Das Nichteinhalten der Umsetzungsfrist könnte ein Vertragsverletzungsverfahren zur Folge haben. Davon abgesehen könnten sich Beschäftigte mit Ablauf der Frist – auch ohne ein entsprechendes deutsches Gesetz – direkt auf die EU-Richtlinie berufen.

Handlungsbedarf für Unternehmen

Die EU-Whistleblowing-Richtlinie bringt eine Vielzahl relevanter Neuerungen mit sich und stellt Unternehmen damit vor neue Herausforderungen. Ein geeignetes internes Hinweisgebersystem, das ständig verfügbar ist, die Option auf Anonymität bietet, in den relevanten Sprachen angeboten wird und mit verständlichen Erklärungen ausgestattet ist, ist unabdingbar. Unternehmen sollten sich daher frühzeitig mit den Inhalten der Richtlinie sowie der Einrichtung eines Hinweisgebersystems vertraut machen und mit der Konzeptionierung und Implementierung des Hinweisgebersystems beginnen. Bis zum Abschluss der Testphase können abhängig von der Größe der Organisationsstruktur mehrere Wochen bis Monate vergehen.

Auch diejenigen Unternehmen, die bereits über eine „Whistleblowing-Hotline“ verfügen, müssen überprüfen, ob und wo Anpassungsbedarf besteht. Denn es wird häufig der Fall sein, dass die vorhandenen Meldesysteme die sehr spezifischen Anforderungen der Richtlinie noch nicht erfüllen.

Christian Huth | CFC - Compliance Factory Consulting GmbH (Kooperationspartner von DIERKES PARTNER)
Geschäftsführer, zert. Datenschutzbeauftragter, zert. Datenschutz-Auditor
info@compliance-factory.com
Telefon +49 40 52169771
Karsten Merget | CFC - Compliance Factory Consulting GmbH (Kooperationspartner von DIERKES PARTNER)
Geschäftsführer, zert. Datenschutzbeauftragter, zert. Datenschutz-Auditor
info@compliance-factory.com
Telefon +49 40 52169771