Die Whistleblower-Richtlinie, die zum 17.12.2021 in deutsches Recht umgesetzt werden muss, bringt große Herausforderungen, aber auch Chancen für Unternehmen ab 50 Mitarbeiter mit sich. Wir geben einen Überblick darüber, was jetzt zu beachten ist und wie Sie die regulatorischen Anforderungen für Ihr Unternehmen nutzen können.
„Whistleblowing“ heißt wörtlich übersetzt „die Trillerpfeife blasen“ und bedeutet das Melden von in einem Unternehmen beobachteten Problemen, Missständen, Risiken oder Gefahren an Vorgesetzte/Geschäftsleiter, Behörden, Medien und/oder die Öffentlichkeit. Der Whistleblower ist meistens ein Mitarbeiter oder Kunde des Unternehmens und berichtet dabei aus eigener Erfahrung.
Die EU-Richtlinie 2019/1937, besser bekannt als „Whistleblower-Richtlinie“, muss bis zum 17.12.2021 in nationales Recht umgesetzt werden. In Deutschland gibt es bis auf einen Referentenentwurf bislang noch kein Umsetzungsgesetz. Sollte es dabeibleiben, wird die Whistleblower-Richtlinie in Deutschland mittelbar Anwendung finden. Die von der Richtlinie adressierten Unternehmen sollten in jedem Fall zeitnah beginnen, sich auf die neuen Gesetzesanforderungen einzustellen und entsprechende Vorbereitungen in ihrer Organisation treffen.
Ziel der Whistleblower-Richtlinie ist es, Verstöße gegen bestimmte Gebiete des Unionsrechts – im deutschen Referentenentwurf gegen sämtliche straf- und bußgeldbewehrte Vorschriften – aufzudecken und zu verhindern, Hinweisgeber vor negativen Folgen zu schützen, indem ihre Anonymität stets gewahrt wird, und dadurch mittelbar die rechtliche Durchsetzung zu verbessern. Für das Unternehmen kann die Einrichtung eines einfach zugänglichen und verständlich bekanntgemachten Hinweisgebersystems den Vorteil mit sich bringen, kritische Sachverhalte zunächst intern aufklären und bestenfalls lösen zu können.
Anforderungen der Whistleblower-Richtlinie
Nach der Whistleblower-Richtlinie sind in der EU ansässige Unternehmen mit mehr als 50 Mitarbeitern sowie Gemeinden mit mehr als 10.000 Einwohnern verpflichtet, sichere Kanäle zur Informationsweitergabe für Hinweisgeber und entsprechende Folgemaßnahmen einzurichten. Bei der Umsetzung in nationales Recht steht es den Mitgliedsstaaten frei, Unternehmen mit weniger als 50 Mitarbeitern und Gemeinden mit weniger als 10.000 Einwohnern von der Pflicht zur Errichtung der Meldekanäle zu befreien und eine zweijährige Übergangsfrist für Unternehmen bis 249 Mitarbeitern einzuführen.
Entscheidend ist, dass der Hinweisgeber zuerst die Verantwortlichen (z.B. Vorgesetzte) im eigenen Unternehmen informiert und vor Vergeltungsmaßnahmen geschützt ist. Da Whistleblowing in der Vergangenheit jedoch oftmals negative Konsequenzen für den Hinweisgeber zur Folge hatte, wurde von Hinweisgebern häufig davon abgesehen, den Vorgesetzten von entsprechenden Vorfällen zu berichten. Dies bestätigt auch eine Studie der Europäischen Kommission aus dem Jahr 2017.[1] Danach verzichteten 81 % derjenigen, die ein Fehlverhalten in einem Unternehmen beobachtet oder selbst miterlebt haben darauf, den Vorfall zu melden.
Meldekanal mit Anonymität
Die Whistleblower-Richtlinie sieht im Grundsatz ein drei Meldekanäle vor, über welche Mitarbeiter, Kunden und andere Dritte Hinweise auf straf- und bußgeldbewehrte Verstöße (wie etwa das Kartellverbot oder Korruptionstatbestände) in Unternehmen effektiv melden können:
- Interne Meldung,
- Meldung an die zuständige Behörde (ggf. Stellen einer Strafanzeige),
- Meldung an die Öffentlichkeit.
Der Hinweisgeber ist nicht an die Hierarchie gebunden, sondern kann den Kanal frei wählen. Dazu müssen Mitarbeiter informiert werden, wie sie den internen Meldekanal nutzen, aber auch unter welchen Voraussetzungen, wie und wo sie die externen Meldekanäle kontaktieren können. In jedem Fall fordert die Whistleblower-Richtlinie, dass der Hinweisgeber die Meldung auch vertraulich erstatten kann, ohne dass von der Meldung betroffenen Personen, von dessen Identität Kenntnis erlangen.
Reaktionsfristen / Folgemaßnahmen zur Aufklärung
In der Umsetzung der Richtlinie sind Unternehmen dazu verpflichtet, dem Hinweisgeber den Eingang der Meldung innerhalb von sieben Tagen – gegebenenfalls anonym –zu bestätigen. Innerhalb von drei Monaten nach Eingangsbestätigung muss der Hinweisgeber eine Rückmeldung darüber erhalten, welche Maßnahmen ergriffen wurden. Es ist also unter Einhaltung auch datenschutzrechtlicher Anforderungen ein entsprechendes Prozedere zu entwickeln, um die Hinweise auf mögliches Fehlverhalten aufzuklären und rechtlich zu beurteilen.
Sanktionen
Die Whistleblower-Richtlinie sieht vor, dass die nationalen Gesetzgeber wirksame Sanktionen festlegen, um gegen die Verhinderung von Hinweismeldungen, gegen Repressalien und mangelnde Vertraulichkeit vorzugehen. Im Gespräch sind ähnliche Bußgelder wie bei DSGVO-Verstößen. Hinweisgebern selbst soll im Fall von Repressalien ein Schadensersatzanspruch zustehen. Sind entsprechende interne Meldekanäle nicht vorhanden, kann der Hinweisgeber beobachtete Verstöße – geschützt – auch direkt an die Öffentlichkeit bringen.
Einzelne Meldemöglichkeiten
Der Hinweisgeber muss die Informationen schriftlich und/oder mündlich melden können. Zur Ausgestaltung eines internen Meldekanals schlägt die Whistleblower-Richtlinie vor, entweder eine telefonische, für den Anrufer kostenlose Hotline einzurichten, eine persönliche Zusammenkunft zu vereinbaren oder ein IT-gestütztes Hinweisgebersystem einzurichten. Bei der Umsetzung sind Größe, Struktur und Branche des jeweiligen Unternehmens zu berücksichtigen. Bei internen und kostenneutralen Lösungen ist jedoch Vorsicht geboten, weil diese häufig gegen die Anforderungen der Whistleblower-Richtlinie oder auch die datenschutzrechtlichen Vorgaben verstoßen.
Handlungsbedarf in Unternehmen
Auf Grundlage unserer Praxiserfahrungen haben wir Elemente identifiziert, die bei der Umsetzung der für KMU, aber auch große internationale Unternehmen relevant sind und einen echten Mehrwert in der Compliance Organisation bieten können. Diese haben auch in unserem Aderhold Hinweisgebersystem, einer modernen, cloudbasierten Plug-&-Play-Lösung, Niederschlag gefunden.
Gerne beraten wir Sie, welche Maßnahmen für Ihr Unternehmen — auch unter Kosten-Nutzen-Gesichtspunkten — erforderlich und empfehlenswert sind. Dabei stellen wir Ihnen selbstverständlich auch die Möglichkeiten unseres eigenen digitalen Hinweisgebersystems vor und unterstützen Sie bei einer rechtskonformen Umsetzung.
[1] European Commission (2017). Special Eurobarometer 470 — Wave EB88.2 — TNS opinion & social.
