07.07.2021Fachbeitrag

Neue Whistleblower-Richtlinie – Was KMU beachten sollten

KMU müssen sich darauf vorbereiten, über Kurz oder Lang ein funktionierendes Meldesystem aufzubauen.

Unternehmen mit mehr als 50 Beschäftigten müssen im Zuge der Umsetzung der EU-Whistleblower-Richtlinie ein Melde-System einführen. Ob der Gesetzgeber bis Ende 2021 die Umsetzung schafft, bleibt abzuwarten. Dennoch sollten sich auch kleine und mittlere Unternehmen darauf vorbereiten, kurz- bis mittelfristig ein funktionierendes Meldesystem aufzubauen. Compliance-Experte Stefan Pawils hat sich dem Thema intensiv gewidmet und stellt die wesentlichen Eckpunkte der Richtlinie vor. Zudem beantwortet er die Frage, warum ein Meldesystem im ureigenen Unternehmensinteresse ist.  

Whistleblowing: Ist die Umsetzung in nationales Recht bis Ende 2021 noch zu schaffen?

In Amerika schon lange vollkommen normal, in Deutschland und in der EU oftmals immer noch mit dem Ruf des Nestbeschmutzers behaftet – der Whistleblower. Nicht selten stehen Mitarbeiter, die in ihrem Unternehmen auf einen Rechtsverstoß wie beispielsweise Korruption oder Kartellbildung aufmerksam werden, vor einer schwierigen Frage: wegschauen, um Kollegen und Unternehmen nicht zu belasten oder die Gesetzeswidrigkeit der Geschäftsführung oder sogar Behörden melden. In diesem Konflikt schafft die neue EU-Whistleblower-Richtlinie zum Schutz von Hinweisgebern ein geeignetes Mittel, um nicht gesetzeskonformes Verhalten im Unternehmen zu unterbinden. Bis zum 17. Dezember dieses Jahres müsste die Bundesregierung die EU-Richtlinie in nationales Recht umsetzen. Aber ob das funktionieren wird?

Eigentlich müsste sie ein großes Interesse daran haben. Immerhin unterstützen Whistleblower die Unternehmensleitung dabei, überhaupt erst einmal vom nicht gesetzeskonformen Verhalten ihrer Mitarbeiter zu erfahren. Das ist umso wichtiger, als bei Bekanntwerden nicht nur der betreffende Mitarbeiter zur Verantwortung gezogen wird. Auch die Geschäftsführung haftet selbst dann, wenn sie von den Verstößen zuvor keine Kenntnis hatte.

Ziel der neuen Richtlinie ist es also, geeignete Informationskanäle für Whistleblower zu schaffen, um Verstöße gegen die Compliance aufzuklären und künftig zu verhindern sowie die Risiken der Geschäftsleitung zu minimieren, für dieses Verhalten zu haften. Außerdem lässt sich über ein geeignetes Hinweisgebersystem die Compliance einer Organisation dauerhaft verbessern, indem vertrauenswürdige Informationskanäle geschaffen und Hinweisgeber vor persönlichen Nachteilen im beruflichen und privaten Umfeld geschützt werden. Denn nur durch den Schutz vor straf- oder zivilrechtlichen Konsequenzen finden sich Whistleblower, die im Sinne des Unternehmens aktiv werden. „Hinweisgeber tun das Richtige für die Gesellschaft und sollten von uns geschützt werden, damit sie dafür nicht bestraft, entlassen, degradiert oder vor Gericht verklagt werden“, sagte Frans Timmermans, zum Zeitpunkt der Entscheidung 2018 Erster Vizepräsident der EU-Kommission. Bis dahin war der Schutz von Whistleblowern in der Europäischen Union nicht einheitlich geregelt. Die neuen EU-weiten Vorschriften zum Schutz von Hinweisgebern dienten genau diesem Zweck und sorgten dafür, dass Hinweisgeber Verstöße gegen das EU-Recht in vielen Bereichen sicher melden könnten. Dies werde Betrug, Korruption, Steuervermeidung durch Unternehmen sowie Schädigungen der menschlichen Gesundheit und der Umwelt bekämpfen helfen.

Hinweisgeber sollen dabei helfen, rechtswidrige Handlungen und illegale Machenschaften aufzudecken. Die Whistleblower sollen aber zugleich umfassende Unterstützung und Schutz genießen. Das neue System stärkt außerdem Arbeitgeber darin,  Probleme intern zu lösen, Hinweisgebern aber auch die Möglichkeit zu erhalten, sich ohne Angst vor Vergeltung an Behörden zu wenden.

„Die neuen Vorschriften decken ein breites Spektrum an EU-Rechtsbereichen ab, unter anderem die Geldwäschebekämpfung, die Unternehmensbesteuerung, den Datenschutz, den Schutz der finanziellen Interessen der Union, die Lebensmittel- und Produktsicherheit sowie den Umweltschutz und die nukleare Sicherheit. Überdies steht es den Mitgliedstaaten frei, diese Vorschriften auf andere Bereiche auszuweiten“, hieß es schon 2019 seitens der Europäischen Kommission. Sie empfiehlt ihnen, umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen.

Wie sieht die neue EU-Richtlinie zum Schutz des Hinweisgebers nun im Detail aus?

 

Die neue Richtlinie zum Schutz des Hinweisgebers

Bereits im April vor zwei Jahren hat das EU-Parlament den Richtlinien-Vorschlag „zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, verabschiedet. Der Vorschlag regelt nur offene, d.h. nicht anonyme Meldungen. Die Regelungen müssen innerhalb von zwei Jahren in nationales Recht umgesetzt werden, Deutschland steht also unter Druck, bis Ende 2021 ein entsprechendes Gesetz zu verabschieden. Ziel des Richtlinien-Vorschlages ist es, durch den Schutz der Personen, die Verstöße melden, geltendes Recht besser durchsetzen zu können.

Deshalb wird die Einrichtung von Meldekanälen sowie Verfahren für Meldungen und Folgemaßnahmen für alle Unternehmen und Behörden ab einer bestimmten Größenordnung zur Pflicht. Wichtig dabei: Nutzen Unternehmen zur Einführung und Gestaltung des Hinweisgebersystems elektronische Kommunikation, unterliegt das System dem Mitbestimmungsrechts des Betriebsrates nach § 87 Abs.1 BetrVG. Dies gilt insbesondere dann, wenn der Arbeitnehmer vom Arbeitgeber verpflichtet wird, Verstöße innerhalb des Unternehmens über einen internen Meldekanal zu melden.

 

Kategorisierung von „Whistleblowing“

Der Gesetzgeber unterscheidet beim Whistleblowing das sogenannte „interne“ vom „externen Whistleblowing“ sowie die „Offenlegung“. Beim „internen Whistleblowing“ meldet der Hinweisgeber Verstöße innerhalb seiner Organisation. Dabei kann die Meldung sowohl an unternehmenseigene Stellen wie den Chief Compliance Officer oder an vom Unternehmen beauftragte Berater wie einen Ombudsmann erfolgen. Beim „externen Whistleblowing“ gehen die Meldungen der Verstöße an zuständige Behörden außerhalb des Unternehmens des Hinweisgebers. Bei der sog. „Offenlegung“ macht der Hinweisgeber Verstöße schließlich öffentlich zugänglich.

 

Anwendungsbereich

Der Anwendungsbereich des EU-Richtlinien-Vorschlags bestimmt maßgebliche Eckpunkte für die rechtskonforme Ausgestaltung eines unternehmensinternen Hinweisgebersystems. Hierbei wird zwischen zwei Anwendungsbereichen unterschieden.

Sachlicher Anwendungsbereich

Erfasst werden u.a. Verstöße in den Bereichen

  • öffentliche Auftragsvergabe
  • Finanzdienstleistungen
  • Umweltschutz
  • Lebensmittel- und Futtermittelsicherheit
  • Verbraucherschutz
  • Datenschutz
  • EU-Wettbewerbsvorschriften
  • Körperschaftssteuer-Vorschriften

Persönlicher Anwendungsbereich

In personeller Hinsicht gilt die Richtlinie für Hinweisgeber, die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben. Der Hinweisgeber ist eine natürliche Person, die im Zusammenhang mit ihren Arbeitstätigkeiten erlangte Informationen über Verstöße meldet oder offenlegt.

Der Begriff ist weit auszulegen und erfasst

  • Arbeitnehmer
  • Beamte
  • Selbstständige
  • Anteilseigner
  • Verwaltungs-, Leitungs- oder Aufsichtsorgane
  • ehrenamtlich tätige Personen
  • bezahlte oder unbezahlte Praktikanten
  • Personen von Auftragnehmern, Unterauftragnehmern oder Lieferanten

Dabei ist es nicht entscheidend, ob das „Arbeitsverhältnis“ noch besteht, bereits beendet ist oder noch gar nicht begonnen hat.

 

Informationen über Verstöße

Unter Informationen über Verstöße versteht der EU-Richtlinien-Vorschlag Informationen oder begründete Verdachtsmomente über tatsächliche oder potenzielle Verstöße. Erfasst werden auch Verschleierungsversuche bereits begangener oder sehr wahrscheinlich erfolgter Verstöße. Die Verstöße müssen jeweils in der Organisation, in der der Hinweisgeber tätig ist oder war oder in einer anderen Organisation, mit der er aufgrund seiner beruflichen Tätigkeit in Kontakt steht oder stand, begangen worden sein.

Der Erwägungsgrund 43 der EU Richtlinie bestimmt, dass zwar keine eindeutigen Beweise beigebracht, aber begründete Bedenken oder ein begründeter Verdacht  geäußert werden müssen. Eine „Behauptung ins Blaue hinein“, Spekulationen oder Gerüchte werden diesen Anforderungen nicht genügen.

 

Meldekanäle

Entscheidet sich ein Whistleblower dazu, Hinweise zu nicht rechtskonformen Verhalten in einer Organisation zu geben, stehen ihm drei verschiedene Meldekanäle zur Verfügung. Sie müssen je nach Unternehmensgröße unterschiedlich ausgestaltet werden.

Interne Meldekanäle (innerhalb juristischer Personen)

Juristische Personen des privaten Rechts mit mehr als 50 Beschäftigten müssen ein internes Meldesystem einrichten. Doch hier gibt es eine wichtige Ausnahme: Für Unternehmen der Finanzbranche gilt diese Beschäftigtenzahl nicht: Sie müssen immer interne Meldekanäle einrichten.

Für Unternehmen mit 50 bis 249 Beschäftigten sieht der Gesetzgeber hingegen eine organisatorische Vereinfachung vor: Sie können Ressourcen beim Betrieb des Meldesystems teilen, um Synergieeffekte zu nutzen und Kosten einzusparen.

Unternehmen mit mehr als 249 Beschäftigten wiederum müssen auf jeden Fall ein eigenes Hinweisgebersystem vorhalten.

Anforderungen an die Meldekanäle

An die unterschiedlichen Meldekanäle stellt der Gesetzgeber strenge Anforderungen, um den Informationsgeber zuverlässig zu schützen. Sie müssen so sicher konzipiert, eingerichtet und betrieben werden, dass die Identitäten sowohl des Hinweisgebers als auch etwaiger dritter Personen stets vertraulich bleiben und Unbefugte keinen Zugriff auf das Meldesystem haben. Das gilt sowohl für interne Abteilungen, die sich mit den Informationen beschäftigen als auch für externe Dritte, die das Meldesystem unterhalten. Anderen Personen darf die Identität des Hinweisgebers nur mit dessen ausdrücklicher Zustimmung bekannt gemacht werden

Der Gesetzgeber legt zudem hohen Wert darauf, dass ein vorhandenes Meldesystem leicht genutzt werden kann. Deshalb muss die Organisation ihre Arbeitnehmer in klarer und leicht verständlicher Sprache darüber informieren, dass ein Meldesystem im Unternehmen existiert und wie sie es nutzen können. Der Hinweisgeber soll also ohne großen Aufwand herausfinden können, auf welche Weise er intern seinen Hinweis abgeben kann.

Übermittlungswege und Prozess

Hat sich ein Whistleblower entschieden, Informationen über möglicherweise nicht rechtskonformes Verhalten im Unternehmen weiterzugeben, muss er das mündlich, schriftlich oder auf Wunsch in einem persönlichen Treffen machen können. „Schriftlich“ bedeutet in diesem Zusammenhang auch die Übermittlung über eine Online Plattform (Intranet oder Internet).

Erhält das Unternehmen eine interne Meldung, hat es anschließend sieben Tage Zeit, dem Hinweisgeber den Eingang der Meldung zu bestätigen oder eine Rückmeldung zu geben, welche Folgemaßnahmen seine Meldung nach sich zieht. Erhält der Whistleblower eine Eingangsbestätigung, beträgt die Frist für die Rückmeldung über die Folgemaßnahmen drei Monate. Bereits in der Eingangsbestätigung soll eine neutrale Person oder Abteilung benannt sein, die für die Folgemaßnahmen zuständig ist. Dies darf die gleiche Person oder Stelle sein, die die Meldung entgegengenommen hat und mit dem Hinweisgeber in Kontakt bleibt.

Im Falle anonymer Meldungen, bei denen die Übermittlung einer Eingangsbestätigung oder Rückmeldung per se nicht in Betracht kommt, sieht der EU-Richtlinien-Vorschlag lediglich „ordnungsgemäße Folgemaßnahmen“ entsprechend dem nationalen Recht vor.

Alle eingehenden Meldungen müssen dokumentiert werden. Schriftliche oder elektronische Meldungen sind zu speichern, telefonische oder sonstige mündliche Informationen sollen aufgezeichnet oder mit einer Abschrift des Gespräches festzuhalten werden, sofern der Hinweisgeber seine Zustimmung hierzu erteilt. Tut er das nicht, muss ein Gesprächsprotokoll erstellt werden, das dem Hinweisgeber zur Kontrolle, Korrektur und Bestätigung durch Unterschrift vorgelegt werden muss. Gibt der Hinweisgeber seine Meldung im Rahmen einer persönlichen Zusammenkunft ab, darf auch diese mit einer Tonaufzeichnung oder detailliertem Protokoll festgehalten werden.

Grundsätzlich müssen bei dem gesamten Procedere die EU-rechtlichen Datenschutzregeln eingehalten werden. Dazu zählt die Wahrung des Grundsatzes der Verhältnismäßigkeit bei der Verarbeitung personenbezogener Daten - sowohl im Hinblick auf die Ausgestaltung als auch den Betrieb des Hinweisgebersystems, die Vornahme einer Datenschutz-Folgeabschätzung, der Abschluss erforderlicher Auftragsverarbeitungsverträge und die Erstellung eines Löschkonzeptes. Zum Schutz der Rechte der von der Datenverarbeitung betroffenen Personen müssen z.B. Auskunftsrechte, das Recht auf Löschung und das Recht auf Datenübertragbarkeit sichergestellt werden.

Externe Meldekanäle (Zuständige Behörde)

Dem Hinweisgeber sollen neben den unternehmensinternen auch externe Meldekanäle zur Verfügung stehen. Diese sollen in noch von den Mitgliedstaaten zu bestimmenden Behörden eingerichtet werden. Das externe Meldesystem soll ebenfalls in der Lage sein, Meldungen entgegenzunehmen, Rückmeldungen zu geben und adäquate Folgemaßnahmen zu ergreifen.

Im Einzelnen sind die Anforderungen an die externen Meldekanäle (Sicherheit, Vertraulichkeit, Fristen) denen der internen sehr ähnlich. Sie müssen zudem unabhängig und autonom sein. Ist eine externe Meldung erfolgt, soll sie eine behördliche Untersuchung nach sich ziehen.

Offenlegung (Öffentliches Zugänglichmachen)

Das öffentliche Zugänglichmachen von Informationen ist der letzte Ausweg (Ultima Ratio) des Hinweisgebers und durch den EU-Richtlinien-Vorschlag ebenfalls geschützt. Hierzu zählen das Publikmachen etwa direkt über Internet-Plattformen und soziale Medien oder indirekt über die Medien, gewählte Amtsträger, zivilgesellschaftliche Organisationen, Gewerkschaften oder Berufsverbände. Für eine Offenlegung müssen Personen, die Informationen über Verstöße melden, drei Voraussetzungen erfüllen, damit sie umfassenden Schutz als Whistleblower genießen:

  1. Wahrheitsgehalt der Information
    Der Hinweisgeber muss einen hinreichenden Grund zu der Annahme gehabt haben, dass die gemeldeten Informationen zum Zeitpunkt der Meldung der Wahrheit entsprochen haben. Geschützt werden dabei nicht nur Hinweisgeber, die eindeutige Beweise beibringen, sondern auch solche, die in gutem Glauben ungenaue Informationen melden. Hierfür hat der Hinweisgeber (lediglich) die ihm verfügbaren Informationen – unter Berücksichtigung der konkreten Umstände – auszuwerten.
    Keinen Schutz genießen Personen, die zum Zeitpunkt der Meldung wissentlich falsche oder irreführende Informationen melden und damit böswillig und missbräuchlich handeln.
  2. Eröffnung des Anwendungsbereiches
    Der Hinweisgeber muss einen hinreichenden Grund zu der Annahme gehabt haben, dass die gemeldeten Informationen in den Anwendungsbereich des EU-Richtlinien-Vorschlages fielen. Der Hinweisgeber wird auch dann geschützt, wenn er in gutem Glauben davon ausgeht, dass seine Meldung oder Offenlegung einen Verstoß gegen geschütztes Unionsrecht betrifft.
  3. Nutzung eines Meldekanals
    Der Hinweisgeber muss den Verstoß schließlich über einen der drei Meldekanäle melden bzw. offenlegen. Zwischen dem internen Meldekanal, dem externen Meldekanal und der Offenlegung kann er jedoch nur eingeschränkt frei wählen. Denn er muss auf jeden Fall die Meldereihenfolge – intern – extern – Offenlegung einhalten.

Eine Offenlegung ist im Übrigen nur bei drei Konstellationen zulässig:

  1. Der Hinweisgeber hat zunächst den internen und/oder externen Meldekanal benutzt. Es wurden jedoch innerhalb des festgelegten Zeitraumes keine geeigneten Maßnahmen ergriffen.
  2. Der Whistleblower hat hinreichenden Grund zu der Annahme, dass der Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann (Notsituation oder bei Gefahr eines irreversiblen Schadens).
  3. Oder er hat hinreichenden Grund zu der Annahme, dass Beweismittel unterschlagen oder vernichtet werden könnten, weil zwischen einer Behörde und dem Urheber des Verstoßes Absprachen bestehen oder die Behörde an dem Verstoß beteiligt ist. Unterbleibt z.B. die Bestätigung des Eingangs innerhalb einer Frist von sieben Tagen nach Meldungseingang, kann der Hinweisgeber am 9. Tag nach Meldungseingang offenlegen, wenn nicht am Tag zuvor geeignete Maßnahmen ergriffen wurden.

 

Whistleblower-Meldesystem im Unternehmensinteresse

Die Konzeption, Einrichtung und der Betrieb eines unternehmensinternen Meldesystems ist für Unternehmen vergleichsweise aufwändig. Dennoch ist es in ihrem ureigensten Interesse, es zeitnah und zuverlässig in der Organisation zu etablieren. Was spricht dafür?

  • Durch das Meldesystem und die darin eingehenden Informationen erhält ein Unternehmen die Chance, nicht rechtskonformes Verhalten aufzudecken und für die Zukunft zu unterbinden. Außerdem gibt es Hinweise auf Schwächen im eigenen Compliance Management System, die es dadurch gezielt beseitigen kann. Das eindeutig rechtskonforme Verhalten spart im Zweifelsfall nicht nur Kosten, weil es Strafen verhindert. Es erhält auch die Reputation gegenüber den Geschäftspartnern.
  • Ein verlässliches internes Meldesystem senkt das Risiko, dass ein Whistleblower sich an externe Dritte wendet oder den Regelverstoß offenlegt.

Klare Vorschriften, wie ein Meldesystem auszusehen hat, gibt es im derzeitigen Referentenentwurf des Bundesjustizministeriums allerdings nicht. Das soll den Unternehmen zum einen ermöglichen, sich an „Best-Practice-Beispielen“ anderer Organisationen bei der eigenen Ausgestaltung zu orientieren, zum anderen die notwendige Freiheit für individuelle Lösungen geben.

Wichtig erscheint, dass sowohl Mitarbeiter als auch externe Dritte, die für das Hinweisgebersystem zuständig sind, regelmäßig über relevante Richtlinien und mögliche Veränderungen geschult werden. Auch die umfassende Information sämtlicher Mitarbeiter in einer Organisation ist entscheidend für den Erfolg eines Hinweisgebersystems: Sie müssen über die Möglichkeiten des Whistleblowings informiert sein und zugleich absolut sicher sein können, dass ihre Informationen vertraulich und nicht zu ihrem Nachteil behandelt werden.

 

Mehr zu diesen Themen