Mit der neuen EU-Whistleblower-Richtlinie soll der Hinweisgeberschutz erstmals in der Europäischen Union geregelt werden: Wer den Mut hat, Missstände in Unternehmen aufzudecken, soll beruflich keine Degradierungen oder gar die Kündigung befürchten müssen. Damit das gelingt, sollen Betriebe geeignete Strukturen schaffen und die Anonymität der Hinweisgeber wahren.
Was das für die Unternehmen bedeutet und wie die Umsetzung der EU-Whistleblower-Richtlinie gelingt, erklärt Inessa Meckler, Legal Counsel/Privacy Expert bei DataGuard. Sie beschreibt zudem die Anforderungen der neuen Richtline, welche Verstöße gemeldet werden können und wer die EU-Hinweisgeberrichtlinie überhaupt erfüllen muss.
Hintergründe zur EU-Whistleblower-Richtlinie
EU-Richtlinien entfalten erst ihre unmittelbare Wirkung, nachdem sie von den Mitgliedstaaten der Europäischen Union in nationales Recht umgesetzt wurden. Für die Durchführung dieser Rechtsakte besteht in der Regel eine verbindliche Frist. Innerhalb dieser müssen alle Mitgliedstaaten die Vorgaben in ihrer nationalen Gesetzgebung verankert haben. Das gilt auch für die Whistleblower-Richtlinie (EU) 2019/1937.
Das Europäische Parlament und der Europäische Rat setzten die Whistleblower-Richtlinie (WB-RL) am 23. Oktober 2019 in Kraft. Die Frist zur Umsetzung ist am 17. Dezember 2021 verstrichen. Deutschland und etliche weitere Staaten haben es bis dato nicht geschafft, ein entsprechendes Gesetz zu verabschieden.
Daraufhin hat die Europäische Kommission im Januar 2022 die Umsetzung angemahnt und ein Vertragsverletzungsverfahren gegen insgesamt 24 Mitgliedstaaten eingeleitet.
Der Entwurf für ein nationales Hinweisgeberschutzgesetz (HinSchG), das der Umsetzung der EU-Whistleblower-Richtlinie dienen soll, lag bereits Ende 2020 vor. Jedoch hat die Regierungskoalition es nicht geschafft, sich auf ein Gesetz zu einigen. Die neue Bundesregierung erwähnt die Richtlinie an mehreren Stellen im Koalitionsvertrag.
Das geplante nationale Hinweisgeberschutzgesetz geht sogar weiter als die Richtlinie und bietet Schutz gegen Verstöße des deutschen Rechts – denkbar wäre die Erweiterung auf Meldungen strafrechtlicher Natur, beispielsweise Betrug oder Bestechung. Bis es in Kraft tritt, werden sich die Gerichte in Streitfällen an der EU-Richtlinie orientieren.
Das soll die neue Hinweisgeberrichtlinie bewirken
Mit der EU-Richtlinie zum Schutz von Whistleblowern erkennt der europäische Gesetzgeber die tragende Rolle von Whistleblowern für den Erhalt einer fairen und transparenten Gesellschaft an – ebenso wie die Tatsache, dass Hinweisgeber oftmals Repressalien ausgesetzt sind. Explizit formuliert ist dies in Absatz 1 der Einleitung zur EU-Whistleblower-Richtlinie.
„Personen, die für eine öffentliche oder private Organisation arbeiten oder im Rahmen ihrer beruflichen Tätigkeiten mit einer solchen Organisation in Kontakt stehen, nehmen eine in diesem Zusammenhang auftretende Gefährdung oder Schädigung des öffentlichen Interesses häufig als Erste wahr. Indem sie Verstöße gegen das Unionsrecht melden, die das öffentliche Interesse beeinträchtigen, handeln diese Personen als Hinweisgeber und tragen entscheidend dazu bei, solche Verstöße aufzudecken und zu unterbinden. Allerdings schrecken potenzielle Hinweisgeber aus Angst vor Repressalien häufig davor zurück, ihre Bedenken oder ihren Verdacht zu melden. In diesem Zusammenhang wird sowohl auf Unionsebene als auch auf internationaler Ebene zunehmend anerkannt, dass es eines ausgewogenen und effizienten Hinweisgeberschutzes bedarf.“
Die neue Richtlinie zielt darauf ab, Whistleblower europaweit wirksam gegen Repressalien zu schützen. Wer den Mut hat, Missstände in Unternehmen aufzudecken, soll beruflich keine Degradierungen, Mobbing oder gar die Kündigung befürchten müssen. Zudem dürfen Whistleblower künftig weder zivil- noch straf- oder verwaltungsrechtlich für das Offenlegen von Rechtsverstößen und Missständen belangt werden. Die Neuregelungen sollen dazu beitragen, dass Zuwiderhandlungen gegen das geltende EU-Recht verstärkt aufgedeckt werden.
Die Anforderungen der Whistleblower-Richtlinie an Unternehmen
Die Richtlinie verpflichtet Unternehmen zum Aufbau eines sicheren und vertraulichen internen Meldekanals. Folgende Voraussetzungen sind zu erfüllen:
- Das System muss die Vertraulichkeit der Identität des Hinweisgebers wahren.
- Der Meldekanal hat geschützt und sicher zu sein.
- Personenbezogene Daten sind DSGVO-konform zu verarbeiten.
- Die vorgeschriebenen Bearbeitungs- und Rückmeldefisten gegenüber dem Hinweisgeber müssen eingehalten werden (Eingangsbestätigung spätestens nach sieben Tagen).
- Unternehmen müssen sowohl ihre Mitarbeiter als auch Zulieferer, Dienstleister und Geschäftspartner über die Meldemöglichkeiten und den Meldeprozess informieren. Die Informationen müssen leicht zugänglich und verständlich aufbereitet sein.
Die Bedeutung von externen Meldekanälen
Da manche Unternehmen, Organisationen oder öffentliche Institutionen die Vorgaben zur Einrichtung interner Meldesysteme womöglich nicht oder nur in unzureichender Form erfüllen, sieht die EU-Richtlinie zusätzlich externe Meldekanäle vor. Diese sind von den Mitgliedsstaaten einzurichten und mit angemessenen Ressourcen zu versehen. Die Kanäle können beispielsweise bei der Staatsanwaltschaft oder der Polizei angesiedelt sein.
Die EU-Whistleblower-Richtlinie räumt internen Meldekanälen in Artikel 7 Absatz 2 explizit den Vorrang vor externen Kanälen ein, sofern „intern wirksam gegen den Verstoß vorgegangen werden kann und der Hinweisgeber keine Repressalien fürchtet“.
Es ist daher im Interesse der Unternehmen, ein im Sinne des Gesetzgebers möglichst gut funktionierendes Hinweisgebersystem zu installieren. Andernfalls laufen sie Gefahr, dass Verstöße sofort extern bekanntgemacht und von offiziellen Stellen verfolgt werden – mit entsprechend hohen Risiken für die eigene Reputation und das Firmenimage.
Diese Unternehmen müssen die EU-Hinweisgeberrichtlinie erfüllen
Kleine und große Unternehmen ab 50 Mitarbeitern, Einrichtungen des öffentlichen Sektors, Behörden sowie Gemeinden ab 10.000 Einwohnern müssen EU-weit künftig sichere interne Meldekanäle für Hinweisgeber bereitstellen.
Für größere Unternehmen ab 250 Beschäftigten sieht die Richtlinie diese Pflicht bereits seit dem 17. Dezember 2021 vor. Eine längere Übergangsfrist gewährt die Richtlinie Firmen mit mehr als 50 und weniger als 250 Angestellten. Diese Betriebe haben für die Einführung der Meldekanäle und Maßnahmen zum Hinweisgeberschutz bis zum 17. Dezember 2023 Zeit.
Diese Verstöße können gemeldet werden
Im Fokus der EU-Whistleblower-Richtlinie steht in erster Linie das EU-Recht. Insbesondere Verstöße in folgenden Bereichen sollen gemeldet werden:
- Öffentliches Auftrags- und Vergabewesen
- Finanzdienstleistungen und Versicherungen
- Geldwäsche und Terrorismusfinanzierung
- Verbraucherschutz und Produktsicherheit
- Verkehrssicherheit, Strahlenschutz und kerntechnische Sicherheit
- Öffentliche Gesundheit
- Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
- Datenschutz
- Umweltschutz
- Wettbewerbs- und Beihilferecht
Den Mitgliedsstaaten steht es frei, in der nationalen Gesetzgebung über das EU-Recht hinauszugehen und auch Verstöße gegen nationales Recht einzubeziehen.
So gelingt die Umsetzung der EU-Whistleblower-Richtlinie
Einen einzigen richtigen Weg zur Umsetzung der Richtlinie gibt es nicht. Wichtig ist nur, dass die Identität des Hinweisgebers und womöglich genannter Dritter vertraulich bleibt. Dafür bedarf es einer zentralen und unabhängigen Ansprechperson (etwa ein externer Datenschutzbeauftragter), die die Meldungen bearbeitet.
Zudem sollte das System rund um die Uhr verfügbar und gegen unbefugte Zugriffe geschützt sein sowie Dialogmöglichkeiten eröffnen – je nach Unternehmen sollten diese mehrsprachig sein. Auch mehrere parallel aufgezogene Meldekanäle sind zulässig.
Der klassische Briefkasten oder ein E-Mail-Postfach kommen als Lösung prinzipiell infrage, sind aber wenig geeignet: Wer seine Meldung in einen „Whistleblower-Briefkasten“ einwirft, könnte beobachtet werden. Die Nachricht erreicht den Empfänger zudem mit zeitlichem Verzug und Dialogmöglichkeiten sind nicht gegeben.
Ähnlich sieht es bei einem E-Mail-Postfach aus: Auch hier ist die Anonymität der Whistleblower gefährdet und ein sicherer Austausch von Informationen und Dokumenten ist nur bedingt umsetzbar. Externe Möglichkeiten, wie ein von Dritten betriebenes Callcenter oder eine Ombudsperson als Ansprechpartner, sind dagegen recht kostspielige und nicht in die unternehmenseigenen Strukturen eingebundene Alternativen.
Praktikabler erscheint daher die Meldung über eine Whistleblower-Software, die gleichzeitig vollständige Anonymität der Hinweisgeber bietet.
Fazit: Das müssen Unternehmen nun tun
An einem internen Whistleblower-System führt kein Weg mehr vorbei. Unternehmen sollten sich daher schleunigst mit dem Thema beschäftigen und aktiv werden. Hinweisgebersysteme sind zudem ein sehr effektives Instrument, um Verstöße und Verdachtsfälle im Unternehmen frühzeitig zu erkennen.
Diese können so proaktiv aufgedeckt und direkt behandelt werden. Kurz: Mit einem professionellen Hinweisgebersystem wird das Vertrauen aller Beteiligten in die Integrität und Handlungsfähigkeit des Unternehmens gestärkt.